CRL/OCSPの違いを軸に、証明書失効の確認フロー・有効期限との関係・オンライン照会の利点を整理し、失効確認に関するSGのひっかけ選択肢を確実に判定できるようになります。

sg crypto_auth sg-security-overview network

まず結論

  • 証明書失効は「有効期限内でも使えなくする仕組み」
  • SG試験では「証明書の状態確認の方法」を判断させる問題が多い

直感的な説明

免許証で考えるとわかりやすいです。

  • 有効期限内の免許証
    👉 でも不正があれば取り消し(失効)される

👉 証明書も同じで
「期限内でも無効になることがある」

定義・仕組み

証明書失効とは、
発行済みの証明書を有効期限前に無効化する仕組みです。

なぜ必要か

  • 秘密鍵が漏えいした
  • 不正に取得された
  • 組織や契約が終了した

👉 放置すると「なりすまし」が可能になる

どんな場面で使う?

使う場面

  • HTTPS通信(証明書の検証時)
  • 電子署名の確認
  • 社内認証基盤(PKI)

👉 証明書が今も有効か確認したいとき

CRL と OCSP の違い(重要)

CRL(証明書失効リスト)

  • 失効した証明書の一覧をまとめたリスト
  • 定期的にダウンロードして確認

👉 特徴

  • 一括確認
  • 情報が古くなる可能性あり

OCSP(オンライン証明書状態確認プロトコル)

  • 証明書ごとにリアルタイムで問い合わせ

👉 特徴

  • 最新状態を確認できる
  • 通信が必要

ざっくり比較

  • CRL → 「リストでまとめて確認」
  • OCSP → 「その場で個別に確認」

よくある誤解・混同

❌ 有効期限内なら必ず使える

→ ⭕ 失効していれば使えない

❌ 証明書は発行したら終わり

→ ⭕ 状態確認(失効確認)が必要

❌ CRLとOCSPは同じ

→ ⭕ 確認方法が違う(一覧 vs リアルタイム)

SG試験のひっかけ

  • 「有効期限だけ確認すればよい」→誤り
  • 「失効確認は不要」→誤り
  • 「CRLはリアルタイム確認」→誤り

確認問題(SG試験対策)

次のうち、証明書失効の確認に関する説明として最も適切なものはどれか。

A. 証明書は有効期限内であれば、失効確認をしなくても必ず信頼できる。 B. CRLは失効した証明書の一覧を確認する方法であり、情報が古くなる可能性がある。 C. OCSPは証明書を発行するための方式であり、失効状態の確認には使わない。 D. 失効確認は秘密鍵が漏えいした場合だけ不要になる。

▶ クリックして答えと解説を見る(ここを開く)

正解:B

解説

  • A:有効期限内でも、失効していれば信頼してはいけません。
  • B:CRLは失効証明書のリストで確認する方式で、更新間隔によって情報が古くなることがあります。
  • C:OCSPは証明書ごとに現在の失効状態をオンラインで確認する方式です。
  • D:秘密鍵漏えいは、むしろ証明書を失効させる代表的な理由です。

👉 判断ポイント 証明書は「有効期限内か」だけでなく「失効していないか」も確認する。

まとめ(試験直前用)

  • 証明書失効=期限前でも無効化する仕組み
  • 理由は「鍵漏えい・不正対策」
  • CRL=一覧で確認(遅延あり)
  • OCSP=リアルタイム確認
  • 「有効期限+失効確認」で判断する

関連記事

  • 電子証明書とは: CRL/OCSP が確認対象にする証明書そのものの基礎を整理できます。
  • 認証局(CA)の役割とは: 失効情報を誰が管理・公開するのかを CA の役割から押さえられます。
  • PKIとは: 証明書、CA、失効確認を含む公開鍵基盤全体の流れをまとめて確認できます。

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る