OCSP Staplingは必須ですか？

必須ではありませんが、接続速度の改善とプライバシー保護の観点から設定を推奨します。特にアクセス数の多いサイトでは、ブラウザからのOCSP問い合わせが積み重なると認証局のサーバー障害時に接続に影響が出ることがあります。OCSP Staplingを使えばその影響を回避できます。

デジサート（DigiCert）の証明書でもOCSP Staplingを使えますか？

はい、デジサート・ジオトラスト・Thawte・サイバートラストなど主要認証局の証明書でOCSP Staplingを利用できます。認証局側でOCSPレスポンダーが公開されています。

OCSP Staplingが有効かどうかはどうやって確認しますか？

openssl s_client -connect ドメイン名:443 -status コマンドで確認できます。出力に「OCSP Response Status: successful」が含まれていれば有効です。またQualys SSL Labsの結果でも「OCSP stapling: Yes」として確認できます。

☎ 048-837-7778

SSL証明書 > FAQ／情報 > OCSP Staplingとは？Apache・Nginxでの設定手順と確認方法

【SSL証明書】FAQ／情報

OCSP Staplingとは？Apache・Nginxでの設定手順と確認方法

ページ更新日：2026/05/02

OCSP Stapling（OCSPステープリング）は、SSL/TLS接続の高速化とプライバシー保護を同時に実現するTLS拡張機能です。
デジサート（DigiCert）を含む主要認証局の証明書すべてに対応しており、Apache・Nginx どちらでも設定できます。

OCSP Staplingとは

通常の TLS ハンドシェイクでは、ブラウザが証明書の有効性を確認するために OCSP（Online Certificate Status Protocol）レスポンダー（認証局のサーバー）に問い合わせます。この問い合わせが通信遅延の原因になります。

OCSP Stapling を有効にすると、Webサーバー自身が定期的に OCSP レスポンスを取得・キャッシュし、TLS ハンドシェイク時にクライアントへ一緒に（Staple：ホチキス留め）送信します。
クライアントは認証局へ直接問い合わせる必要がなくなるため、接続が高速化されます。

項目	OCSP Stapling なし	OCSP Stapling あり
証明書失効確認	ブラウザ → 認証局（OCSPサーバー）に都度問い合わせ	Webサーバーがキャッシュ済みレスポンスを提供
速度への影響	OCSPサーバーへのRTTが加算される	RTT増加なし（キャッシュ活用）
プライバシー	ブラウザのアクセス先が認証局に伝わる	ブラウザは認証局に問い合わせ不要

Apacheでの設定

Apache 2.3.3 以降で利用できます。mod_ssl が必要です。httpd.conf または SSL設定ファイルに以下を追加します。

# グローバル設定（VirtualHostの外）
SSLUseStapling on
SSLStaplingCache shmcb:/var/run/ocsp(128000)

# VirtualHost 内
<VirtualHost *:443>
    SSLEngine on
    SSLCertificateFile    /etc/apache2/ssl/server.crt
    SSLCertificateKeyFile /etc/apache2/ssl/server.key
    SSLCertificateChainFile /etc/apache2/ssl/intermediate.crt

    # SSLStaplingResponderTimeout（任意：デフォルト10秒）
    SSLStaplingResponderTimeout 5
    # SSLStaplingReturnResponderErrors（任意：失敗時もHandshake継続）
    SSLStaplingReturnResponderErrors off
</VirtualHost>

SSLUseStapling on と SSLStaplingCache は必ずグローバルコンテキストに記述します。
中間証明書（SSLCertificateChainFile）が正しく設定されていないと OCSP Stapling は機能しません。
設定後、Apacheを再起動します：systemctl restart apache2

Nginxでの設定

Nginx 1.3.7 以降で利用できます。ssl_stapling on を追加します。

server {
    listen 443 ssl;
    server_name www.example.com;

    ssl_certificate     /etc/nginx/ssl/server_chain.crt;  # チェーン証明書（サーバー証明書＋中間証明書）
    ssl_certificate_key /etc/nginx/ssl/server.key;

    ssl_stapling on;
    ssl_stapling_verify on;

    # DNSリゾルバの設定（OCSPサーバーの名前解決に必要）
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 5s;
}

ssl_certificate にはサーバー証明書と中間CA証明書を結合したチェーン証明書（cat server.crt intermediate.crt > chain.crt）を指定します。
resolver が設定されていないと OCSP サーバーへの名前解決ができず、Staplng が機能しません。
設定後、Nginxを再起動します：systemctl reload nginx

設定の確認方法

openssl s_client コマンドで OCSP Stapling が有効かどうかを確認できます。

openssl s_client -connect www.example.com:443 -status < /dev/null 2>&1 | grep -A 20 "OCSP response:"

OCSP Stapling が有効な場合、出力に以下のような表示が含まれます：

OCSP response:
======================================
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    ...

OCSP response: no response sent と表示される場合は、Stapling が有効になっていません。設定と証明書チェーンを再確認してください。
Qualys SSL Labs の結果でも「OCSP stapling: Yes」として確認できます。

よくある質問

Q. OCSP Staplingは必須ですか？: 必須ではありませんが、接続速度の改善とプライバシー保護の観点から設定を推奨します。特にアクセス数の多いサイトでは、ブラウザからの OCSP 問い合わせが積み重なると認証局のサーバー障害時に接続に影響が出ることがあります。OCSP Stapling を使えばその影響を回避できます。
Q. デジサート（DigiCert）の証明書でも使えますか？: はい、デジサート・ジオトラスト・Thawte・サイバートラストなど、当社が取り扱う全ての証明書で OCSP Stapling を利用できます。認証局側で OCSP レスポンダーが公開されています。
Q. 設定後すぐに確認できますか？: サーバー起動直後は OCSP レスポンスのキャッシュがまだないため、最初の数リクエストは Stapling が行われない場合があります。数分後に再確認するか、一度アクセスしてからテストしてください。

FAQ／情報 SSL証明書