1/ OCSP는 원래 브라우저에서 인증서 Revoke 여부를 판단할 때 주로 사용하는 프로토콜이라고 합니다. 실시간으로 인증서의 유효 여부를 확인할 수 있어서 매우 쓸모가 있어보입니다.

2/ OCSP 스테이플링은 웹 서버가 OCSP 응답을 대신 받아서 캐싱한 후에, TLS 연결 과정에서 상태를 직접 전달해주는 방식입니다. 브라우저가 매번 OCSP 응답자에게 요청을 보내지 않아도 되기 때문에 유용하게 사용됩니다.

3/ 그런데, 크롬이나 엣지와 같은 브라우저는 성능 이슈 때문에 아예 OCSP 요청을 보내지 않는다고 합니다. 대신 CRLSets으로 인증서 폐지 정보들을 주기적으로 업데이트하여 관리하고, Certificate Transparency(CT) Log를 사용해서 잘못된 인증서를 필터링한다고 합니다. 참고로 CT Log는 모든 인증서 발급 내역을 기록한 로그입니다.

실제로 테스트해보면, Firefox에서는 OCSP 패킷이 잡히는데, 크롬에서는 브라우저 캐시를 지워도 잡히지 않았습니다.

https://open.substack.com/pub/techchallengearena/p/ocsp?r=czded&utm_campaign=post&utm_medium=web

#devops #security #ocsp #tls