MacでChromeとopensslを使ってOCSPを体験してみる


1 OCSP Staplingが使えるか確認してみる。

OCSP Staplingが有効かどうかはopensslコマンドにより確認することができる。
Staplingが有効である場合は、レスポンスにOCSP情報が含まれる。
我々はどのようにして安全なHTTPS通信を提供すれば良いか - Qiita

1.1 opensslで確認してみる。

Qiitaは使えなかった・・・

# openssl s_client -connect [サイトのサーバ]:443 -status | head
$ openssl s_client -connect www.qiita.com:443 -status | head
depth=4 C = US, O = "Starfield Technologies, Inc.", OU = Starfield Class 2 Certification Authority
verify return:1
depth=3 C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2
verify return:1
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 CN = qiita.com
verify return:1
CONNECTED(00000003)
OCSP response: no response sent <<< コレが返ってくるとOCSP Staplingは有効でないらしい。
---
Certificate chain
 0 s:/CN=qiita.com
   i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
 1 s:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
   i:/C=US/O=Amazon/CN=Amazon Root CA 1
 2 s:/C=US/O=Amazon/CN=Amazon Root CA 1
   i:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2

2 OCSPのURIを使ってみる。

2.1 サイトを開いて鍵マークあたりを押下して、[証明書]の下にあるリンクを押下する。

2.2 [詳細な情報]欄を広げる。

2.3 [オンライン証明書状況プロトコル]にある[URI]を押下する。

2.4 ダウンロードされたファイルを開いてみる。

「ダウンロード」というファイルがダウンロードされたので見てみる。

ダウンロード
0

2.5 返却結果の意味が分からなかった・・・・

がーーーん。

出典