[인증] OCSP

IT/정리

_하늘여우_ 2020. 11. 30. 01:20

- 온라인 인증서 상태 프로토콜 (Online Certificate Status Protocol, OCSP) 는 PKI 로 발행된 인증서 검증을 위한 방법으로 CRL 방식을 보완하기 위한 프로토콜이다.

- 사용자가 인증서 사용 시 온라인 상점과 같은 클라이언트는 해당 인증서 유효성 검증을 위해 검증기관(VA, Validation Authority)에 요청 후 결과를 응답 받음

- 인증서 검증을 위한 요청 방식으로 CRL과 OCSP가 있음

- Certificate Revocation List (인증서 폐기 목록)

- CA는 폐지된 인증서 정보를 가지고 있는 CRL을 통해 인증서의 유효성을 최신 상태로 유지

- 검증 기관은 인증서 폐기 목록을 배치로 CA에서 가져와 갱신하였으나 거래가 늘어남에 따라 목록 관리 및 실시간 관리가 되지 않는 다는 단점이 생김

- Online Ceritificate Status Protocol (온라인 인증서 상태 프로토콜)

- CRL의 단점을 보완하기 위해 CRL 리스트를 다운로드 하기 보다 실시간으로 목록을 조회할 수 있도록 함

- 별도의 OCSP서버를 두고 사용자가 인증서 상태 요청 시 인증기관을 조회 후 결과를 return함

- 특정 CA기관과 계약 체결 및 사용량에 따른 비용 지불 필요 (참고: 인증기관)

★참고 URL