証明書失効（CRL / OCSP）とは？無効な証明書の見分け方【SG試験】

まず結論

証明書失効は「有効期限内でも使えなくする仕組み」
SG試験では「証明書の状態確認の方法」を判断させる問題が多い

このページで切り分けること（先にここだけ）

このページは、証明書失効の確認方法（CRLとOCSP）を中心に整理します。

失効：有効期限内でも証明書を無効にする
CRL：失効証明書の一覧を定期取得して確認
OCSP：証明書ごとにオンラインで状態確認

迷ったら、 「一覧で確認するか、都度問い合わせるか」 を見ます。

SG試験で選択肢を切る判断軸（CRL/OCSP編）

「失効証明書のリストを配布して確認する」 → CRL
「証明書の状態をオンラインで照会する」 → OCSP
「有効期限内なら必ず有効」と書かれている → 誤り（失効で無効になることがある）

直感的な説明

免許証で考えるとわかりやすいです。

有効期限内の免許証
👉 でも不正があれば取り消し（失効）される

👉 証明書も同じで
「期限内でも無効になることがある」

定義・仕組み

証明書失効とは、
発行済みの証明書を有効期限前に無効化する仕組みです。

なぜ必要か

秘密鍵が漏えいした
不正に取得された
組織や契約が終了した

👉 放置すると「なりすまし」が可能になる

どんな場面で使う？

使う場面

HTTPS通信（証明書の検証時）
電子署名の確認
社内認証基盤（PKI）

👉 証明書が今も有効か確認したいとき

CRL と OCSP の違い（重要）

CRL（証明書失効リスト）

失効した証明書の一覧をまとめたリスト
定期的にダウンロードして確認

👉 特徴

一括確認
情報が古くなる可能性あり

OCSP（オンライン証明書状態確認プロトコル）

証明書ごとにリアルタイムで問い合わせ

👉 特徴

最新状態を確認できる
通信が必要

ざっくり比較

CRL → 「リストでまとめて確認」
OCSP → 「その場で個別に確認」

OCSPの目的（今回の例題対応）

OCSPの目的は、デジタル証明書の失効情報をオンラインで問い合わせ、現在も有効かを確認することです。

クライアントは、確認したい証明書の情報をOCSPレスポンダに送り、その証明書が有効か、失効しているかなどの応答を受け取ります。

SG試験では、次のように切り分けます。

表現	判断
証明書の失効状態をオンラインで問い合わせる	OCSP
失効した証明書の一覧を確認する	CRL
秘密鍵の再発行処理を確認する	OCSPではない
有効期限切れ証明書の更新進捗を確認する	OCSPではない

よくある誤解・混同

❌ 有効期限内なら必ず使える

→ ⭕ 失効していれば使えない

❌ 証明書は発行したら終わり

→ ⭕ 状態確認（失効確認）が必要

❌ CRLとOCSPは同じ

→ ⭕ 確認方法が違う（一覧 vs リアルタイム）

SG試験のひっかけ

「有効期限だけ確認すればよい」→誤り
「失効確認は不要」→誤り
「CRLはリアルタイム確認」→誤り

確認問題（SG試験対策）

次のうち、証明書失効の確認に関する説明として最も適切なものはどれか。

ア. 証明書は有効期限内であれば、失効確認をしなくても必ず信頼できる。
イ. CRLは失効した証明書の一覧を確認する方法であり、情報が古くなる可能性がある。
ウ. OCSPは証明書を発行するための方式であり、失効状態の確認には使わない。
エ. 失効確認は秘密鍵が漏えいした場合だけ不要になる。

▶ クリックして答えと解説を見る（ここを開く）

正解：イ

解説

ア：有効期限内でも、失効していれば信頼してはいけません。
イ：CRLは失効証明書のリストで確認する方式で、更新間隔によって情報が古くなることがあります。
ウ：OCSPは証明書ごとに現在の失効状態をオンラインで確認する方式です。
エ：秘密鍵漏えいは、むしろ証明書を失効させる代表的な理由です。

👉 判断ポイント証明書は「有効期限内か」だけでなく「失効していないか」も確認する。

OCSPの目的を問う確認問題

Webサーバ証明書を検証する際に、証明書が失効していないかを証明書単位でオンライン照会したい。この目的に使う仕組みとして最も適切なものはどれか。

ア. OCSP
イ. CSR
ウ. CRLの手動配布だけ
エ. 秘密鍵のバックアップ管理