対象試験と出題頻度
CRL(証明書失効リスト)は、情報セキュリティマネジメント・ITパスポート・基本情報技術者・応用情報技術者の全試験で出題されるセキュリティ用語です。
頻出度は「B(覚えておくと有利)」。PKI(公開鍵基盤)や認証局(CA)と関連して出題されることが多いです。
詳細をクリックして確認
情報セキュリティマネジメント
ITパスポート
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(覚えておくと有利)
用語の定義
CRL(Certificate Revocation List:証明書失効リスト)とは、一言で言うと「有効期限が切れる前に無効化(失効)されたデジタル証明書の一覧を、認証局(CA)が公開したもの」のことです。
イメージとしては、「盗難届が出されたパスポートの番号リスト」のようなものです。
パスポートには有効期限がありますが、盗難や紛失が発覚した場合は、有効期限前でも無効にする必要があります。入国審査官は「盗難届リスト」を確認し、そのパスポートが無効化されていないかチェックします。デジタルの世界でも同じで、秘密鍵の漏洩などが発覚したデジタル証明書は失効させ、CRLに登録して公開します。
📊 CRLとOCSPの比較
| 比較項目 | CRL(証明書失効リスト) | OCSP |
|---|---|---|
| 確認方法 | 失効リストをダウンロードして確認 | リアルタイムで問い合わせて確認 |
| 即時性 | 定期的な更新のため遅延あり | リアルタイムで最新情報を取得 |
| データサイズ | 大きくなりがち(全失効証明書を含む) | 小さい(個別に問い合わせ) |
| サーバー負荷 | 低い(定期ダウンロード) | 高い(都度問い合わせ) |
解説
「デジタル証明書って有効期限があるのに、なぜわざわざ失効させる必要があるの?」と疑問に思う人もいるかもしれません。理由は、秘密鍵の漏洩や組織の変更など、有効期限前に証明書を無効にしなければならない事態が発生するからです。
例えば、あるWebサイトの秘密鍵が攻撃者に盗まれたとします。攻撃者はその秘密鍵を使って、正規のサイトになりすますことができてしまいます。証明書の有効期限が1年後だとしたら、1年間もなりすましが可能になってしまいます。これを防ぐために、秘密鍵漏洩が発覚した時点で証明書を「失効」させ、その情報を公開する必要があるのです。
💡 証明書が失効される主な理由
①秘密鍵の漏洩・盗難:秘密鍵が第三者に渡ると、なりすましや改ざんのリスクがあるため、即座に失効させます。
②組織の変更:会社の合併、ドメイン名の変更、担当者の退職などで、証明書の所有者情報が変わった場合に失効させます。
③証明書の誤発行:認証局が誤って証明書を発行した場合、その証明書を失効させます。
④認証局の侵害:認証局自体が攻撃を受けた場合、発行した証明書を一括で失効させることがあります。
CRLの仕組み
CRLの仕組みはシンプルです。認証局(CA)は、失効した証明書のシリアル番号と失効日時をリストにまとめ、定期的に公開します。このリストにはCAのデジタル署名が付与されているため、改ざんされていないことを確認できます。
ブラウザやアプリケーションは、証明書を検証する際にCRLをダウンロードし、その証明書がリストに含まれていないかチェックします。リストに含まれていれば、その証明書は無効と判断され、通信を中止したり警告を表示したりします。
CRLの課題とOCSP
CRLには課題もあります。失効した証明書が増えるとリストが大きくなり、ダウンロードに時間がかかります。また、CRLは定期的に更新されるため、失効直後の証明書がリストに反映されるまでタイムラグが発生します。
これらの課題を解決するために登場したのがOCSP(Online Certificate Status Protocol)です。OCSPでは、証明書の有効性をリアルタイムで認証局に問い合わせます。CRLのように大きなリストをダウンロードする必要がなく、最新の失効情報を即座に取得できます。
ただし、OCSPにも課題があります。毎回問い合わせが発生するため、認証局のサーバー負荷が高くなります。また、プライバシーの観点から、「どのサイトにアクセスしているか」が認証局に知られてしまうという指摘もあります。
⚠️ OCSPステープリングとは?
OCSPの課題を解決する技術として「OCSPステープリング」があります。これは、Webサーバー側が事前にOCSPレスポンスを取得しておき、クライアントに証明書と一緒に渡す方式です。クライアントは認証局に問い合わせる必要がなくなり、プライバシーも保護されます。現在、多くのWebサーバーでOCSPステープリングが採用されています。試験では名前を知っておく程度でOKです。
試験ではこう出る!
CRLは、PKIや認証局に関する問題で出題されます。以下のキーワードとセットで確実に覚えましょう。
【重要キーワード】
- 有効期限前に失効した証明書の一覧
- 認証局(CA)が発行・公開
- 定期的にダウンロードして確認(即時性に欠ける)
- OCSP:リアルタイムで問い合わせる方式(CRLより即時性が高い)
- 失効理由:秘密鍵漏洩、組織変更、誤発行など
試験問題で「失効したデジタル証明書の一覧」や「有効期限前に無効化された証明書を確認するためのリスト」といった記述があれば、それは「CRL(証明書失効リスト)」に関する記述です。
📊 証明書の有効性確認方式(試験対策)
| 方式 | 特徴 |
|---|---|
| CRL | 失効リストをダウンロードして確認。定期更新のため遅延あり。 |
| OCSP | リアルタイムで問い合わせ。即時性が高いがサーバー負荷大。 |
| OCSPステープリング | サーバーが事前にOCSP応答を取得し、クライアントに渡す。 |
📝 IPA試験での出題ポイント
CRLの問題では、「CRLとOCSPの違い」が頻出です。CRLは「リストをダウンロードして確認」「定期更新のため遅延がある」、OCSPは「リアルタイムで問い合わせ」「即時性が高い」という違いを押さえましょう。
また、「なぜ証明書を失効させる必要があるか」という問いには「秘密鍵の漏洩などで、有効期限前でも無効にする必要があるから」と答えます。試験ではここまででOK。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. CRL(証明書失効リスト)に関する説明として、最も適切なものはどれでしょうか?
- A. 証明書の有効性をリアルタイムで認証局に問い合わせて確認するプロトコル
- B. 有効期限前に無効化(失効)されたデジタル証明書の一覧を、認証局が公開したものであり、定期的にダウンロードして確認する
- C. デジタル証明書を発行し、公開鍵と所有者の紐づけを保証する信頼された第三者機関
正解と解説を見る
正解:B
解説:
CRL(Certificate Revocation List:証明書失効リスト)は、有効期限前に無効化(失効)されたデジタル証明書の一覧を、認証局(CA)が公開したものです。秘密鍵の漏洩や組織変更などの理由で、証明書を有効期限前に無効にする必要がある場合に使用されます。ブラウザやアプリケーションは、定期的にCRLをダウンロードして、証明書が失効していないか確認します。CRLは定期更新のため、失効情報の反映に遅延があるという課題があります。
選択肢Aは「OCSP(Online Certificate Status Protocol)」の説明です。OCSPはリアルタイムで問い合わせる方式で、CRLより即時性が高いです。選択肢Cは「認証局(CA)」の説明であり、CRLとは異なります。
