意外にハマったのでメモ。 OCSPとは OCSP(Online Certificate Status Protocol)とは、SSL/TLS暗号化通信の初期フェーズにおいて証明書の失効を確認するための手順。 従来は署名所失効リスト(CRL)が利用されていたが、CRLはリストが肥大化しダウンロードに非常に時間がかかるようになってきたため、単一レコードの取得で済むOCSPが、現在では証明書の失効を確認する方法として一般的になった。 OCSP Staplingとは 通常は以下の図のように、証明書をダウンロードしたクライアントがOCSP Responderにサーバ証明書の失効を確認する。 OCSP Staplingに対応すると、以下の図のように証明書の失効確認をサーバ側で処理することができる。 また、OCSPレスポンスは一定の間はサーバにキャッシュされ、都度OCSP Responderに問い合わせ
![NginxでのOCSP Stapling対応設定](https://cdn-ak-scissors.b.st-hatena.com/image/square/feef06f3da130429e15c8406cdedb1ecb464a85c/height=288;version=1;width=512/http%3A%2F%2Fblog.mylibs.jp%2Fwp-content%2Fuploads%2F2014%2F08%2Fnginx_logo-150x150.png)