投稿日: Feb 9, 2024
お客様がモノのインターネット (IoT) デバイスをクラウドに安全に接続し、大規模に管理できるようにするマネージド型クラウドサービスである AWS IoT Core は、カスタムドメインと設定可能なエンドポイントを使用する TLS X.509 サーバー証明書用のオンライン証明書ステータスプロトコル (OCSP) ステーブリングのサポートを発表しました。この新機能により、お客様はカスタムドメインのサーバー証明書の有効性の検証のレイヤーを追加することができ、例えば、サーバー証明書の失効への対応などをより迅速に行えるようになります。TLS ハンドシェイク中に OCSP 応答を証明書に含めることで、クライアントから OCSP サーバーに別途要求を行う必要がなくなるため、結果として接続の確立が速くなります。
OCSP は、証明書の状態をタイムリーに更新する業界標準のプロトコルです。リクエストに応じて、証明書のステータス (有効、失効、または不明) の応答を提供します。クライアントの観点から、サーバー証明書に対する OCSP 応答が失効または不明の場合、セキュリティを確保するために、クライアントによって接続を終了できます。OCSP ステープリングを有効にするには、お客様は AWS IoT コンソール内の [設定] セクションに移動し、[Enable server certificate OCSP stapling] を選択できます。お客様は、ドメイン設定 API を使用して新機能をオプトインすることもできます。