DigiCert証明書の正規代理店株式会社アールエムエス
DigiCert SSLサーバ証明書 SSLサーバ証明書詳細 コードサイニング証明書詳細
DigiCert サーバー証明書利用団体
  1. ホーム
  2. サポート
  3. 技術情報
  4. 証明書の失効

証明書の失効:CRL(Certificate Revocation Lists) とOCSP

CRL(証明書失効リスト)

CRLには失効した証明書のシリアル番号と失効日が記載されています。
認証局(CA)は、失効した証明書のリストCRL(Certificate Revocation Lists)を公開し、このリストのURLを、あらかじめサーバー証明書に記載しておきます。
サーバーが提示した証明書を受け取ったブラウザ等のクライアントは、その証明書がCRLに掲載されていないかを検証します。

サーバーが権威ある認証局によって発行された証明書を提示し、それが有効期限内のものであっても、その証明書だけでは証明書の有効性は確認できません。
証明書の発行後にその証明書が失効している可能性があるためです。
証明書の失効は、秘密鍵が漏洩した場合や、間違った手続きのもとに発行された証明書であることが判明した場合などに行われます。

WildCard Plus/1年あたり98,500円から
ひとつの証明書でホスト名数・サーバー台数無制限で利用可能 DigiCert(デジサート)企業認証SSL/TLS 国内最安値でご提供

CRLの入手方法

ブラウザやメールクライアントが自動的に行っているCRLのチェックですが、以下の手順でCRLを入手することができます。

例:Chromeの場合
  1. ブラウザのアドレスバーの鍵マークをクリックし、詳細をクリックします。

    In Chrome, viewing certificate's crl distribution points

  2. 以下の画面が表示されますので、View certificate をクリックします。

    In Chrome, viewing certificate's crl distribution points

  3. 表示プルダウンメニューで拡張機能のみを選択します。

    In Chrome, viewing certificate's crl distribution points

  4. CRL 配布ポイントを選択します。
    「CRL 配布ポイント」のURLが表示されますので、ブラウザでアクセスしCRLを入手してみてください。
    この画面のテキストはファイルにコピーをクリックすればコピーできます。

    In Chrome, viewing certificate's crl distribution points

EV SSL Plus/1年あたり32,500円から
緑のアドレスバーでサイトの信頼性向上 DigiCert(デジサート) EV SSL/TLS サーバー台数無制限 国内最安値でご提供

OCSP(Online Certificate Status Protocol) と失効証明とOCSP Stapling

OCSP(Online Certificate Status Protocol)は、ブラウザなどのクライアントが、認証局が提供するOCSPサーバーに対して証明書のシリアル番号を問合せ、OCSPサーバーが証明書のステイタスを返すという仕組みです。
CRLはある程度大きなサイズのファイルをダウンロードしてチェックするという2段階の手順が必要なため一定程度の時間を要しますが、OCSPでは非常に短時間で結果を入手できます。

SSLサーバ証明書を利用するサーバーが、認証局が提供するOCSPサーバーの情報をキャッシュして、証明書とともにブラウザなどのクライアントに提供する方法をOCSP Staplingと呼びます。
OCSP Staplingの利用方法は、以下のページを参照してください。

認証局が提供するOCSPサーバーのURIと証明書情報は、以下のような手順で確認できます。

例:FireFoxの場合
  1. ブラウザのアドレスバーの鍵マークをクリックし、表示される「>」マークをクリックします。続いて詳細を表示をクリックします。

    In Internet Explorer (IE), viewing certificate's OCSP url

  2. 証明書を表示をクリックします。

    In Internet Explorer (IE), viewing certificate's OCSP url

  3. 詳細タブをクリックします。

    In Internet Explorer (IE), viewing certificate's OCSP url

  4. 証明書のフィールド欄でExtensionsグループ内のAuthority Infomation Accessを選択します。
    フィールドの値欄にOCSP サーバーのURIと証明書情報が表示されます。

    In Internet Explorer (IE), viewing certificate's Authority Information Access

マルチドメイン証明書/1年あたり56,500円から
Windowsサーバーにおすすめ 最大25ホスト名まで対応 DigiCert(デジサート) 企業認証SSL/TLS 国内最安値でご提供
SSL サーバ証明書とは?
30日間テスト証明書
30日間返金保証制度あり!
コードサイニング証明書
ドキュメントサイニング証明書
デジタル証明書ニュース
HTTPS入門
digicert.comトピックス&ニュース