オンライン証明書ステータス・プロトコル(OCSP)は、RFC 2560で定義されている自動証明書チェック・ネットワーク・プロトコルです。証明書検証の一環として、WebLogic ServerはOCSP応答者にOCSPリクエストを発行することで証明書の失効ステータスを問い合せます。証明書ステータスはOCSP応答者によってメンテナンスされます。証明書の受入れは、証明書がそれを発行したCAによってまだ信頼されているかどうかを示すOCSPレスポンスを応答者が返すまで中断されます。
WebLogicドメインで証明書失効チェックを構成している場合は、次のOCSP設定をカスタマイズできます。
- OCSPリクエストおよびレスポンスでnonceを使用するかどうか。nonceはランダムな数値であり、これがOCSPリクエストに含まれていると、nonceも要求する新しいレスポンスが強制されます。事前に署名されたOCSPレスポンスが拒否されて、リプレイ攻撃が防止されます。
- OCSPレスポンスのローカル・キャッシュを有効にするかどうか。これは、OCSPレスポンスを保持するためのインメモリー・キャッシュであり、パフォーマンスの最適化とネットワーク帯域幅の削減に使用されます。
- OCSPレスポンスの待機時間を制限するタイムアウト設定。タイムアウトの設定は、ブロックされたスレッドを最小限に抑えるのに役立ち、サービス拒否攻撃に対するシステムの脆弱性も低減します。
- WebLogic ServerとOCSP応答者間のクロック・スキュー差を処理するための許容時間値。
- OCSPレスポンス・キャッシュの容量およびリフレッシュ設定。リフレッシュ設定はOCSPレスポンスの有効期間のパーセントとして示されており、このパーセントに達すると、OCSP応答者からキャッシュ・エントリが強制的にリフレッシュされます。たとえば、有効期間が10時間の場合に、10%という値を指定すると、キャッシュされたレスポンスが1時間後に失効して新しいレスポンスが必要になります。OCSPレスポンスが次に必要になると、リフレッシュが実行されます。
WebLogic ServerでOCSP構成をカスタマイズするには: