325.2暗号化、署名および認証のX.509 証明書

LinuCレベル３303試験の出題範囲から「325.2 暗号化、署名および認証のX.509 証明書 」についての例題を解いてみます。このテーマは、セキュアなWebサービスを構築するための仕組みや設定に関する内容が含まれます。実践でも活用できる内容ですので、しっかりと把握しておきましょう。

Linucレベル3 303試験 出題範囲

例題

Apache HTTPDにおいて、mod_sslを使ってOCSP stapling有効化する際に設定するディレクティブはどれか、2つ選択せよ。

1. SSLStaplingCache
2. OCSPStapling
3. SSLStapling
4. SSLUseStapling

※この例題は実際の試験問題とは異なります。

解答と解説

正解は、「1.SSLStaplingCache」と「4.SSLUseStapling」です。

OCSP(Online Certificate Status Protocol)は証明書失効を管理する方法の1つで、クライアント(ブラウザ)がOCSPレスポンダと呼ばれるサーバに証明書失効状態を確認する仕組みです。

通信は、以下の2段階で行われます。

1. クライアント(ブラウザ)⇒Webサーバ ※証明書の取得
2. クライアント(ブラウザ)⇒OCSPレスポンダ ※証明書失効の確認

上記の場合、通信が完了まで時間がかかる・OCSPレスポンダにクライアントがアクセスしたいサイトの情報が分かってしまうなどの問題があります。

OCSP staplingを使うと以下のように通信がされるようになり、問題を解決します。

クライアント(ブラウザ)⇒Webサーバ(※OCSPレスポンダからの応答をキャッシュ)⇒OCSPレスポンダ

Apache with mod_sslでOCSP staplingを使う場合、以下を設定します。

SSLStaplingCache "shmcb:/var/run/ocspstapling/cache(128000)"　・・・・キャッシュするパスやキャッシュ容量を指定
SSLUseStapling on　・・・・機能の有効化

具体的な設定例を確認したい場合、
"apache mod_ssl ocsp stapling 設定方法"
などで検索すると情報が見つかると思います。

また、Apacheのmod_sslについては、以下で詳細が確認出来ます。
https://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslsessioncache

例題作成者

鯨井 貴博 （LinuCエヴァンジェリスト/登録インストラクター、LPI-Japanアカデミック認定校 Zeus IT Camp）