OCSP • 一般的に失効の仕組み(CRL、OCSP)はうまく機能しないとみなされ ている(p75) • 失効情報の波及に時間がかかる • ブラウザのSoft Fail ポリシー(失効情報が取得に失敗 =>証明書有効の 扱い) • 今のブラウザの主流(p76): • Google(CRLSets)、Mozilla(OneCRL)等の自前の仕組みで失効確認 • それ以外は失効確認なしで済ませる (CRL, OCSPの使用は部分的) • 今後 • 「CRLSets、OneCRLのような仕組み」+「OCSP Must-Staple(後述)」 である程度セキュリティが確保されるのでは 5.10 証明書の失効 (1)