対象試験と出題頻度
OCSPは、基本情報技術者試験・応用情報技術者試験のセキュリティ分野で出題される用語です。
「デジタル証明書の失効確認」という文脈で登場するため、CRL(証明書失効リスト)との違いを押さえておくと得点につながります。
詳細をクリックして確認
基本情報技術者
応用情報技術者
★★☆☆☆
ランクC(余裕があれば覚える)
用語の定義
OCSP(Online Certificate Status Protocol)とは、一言で言うと「デジタル証明書が失効していないかをオンラインでリアルタイムに確認するためのプロトコル」です。
イメージとしては、「お店でクレジットカードを使うとき、店員がカード会社に電話して『このカード、今使えますか?』と確認する」ようなものです。証明書という「身分証」が有効かどうかを、発行元(認証局)に問い合わせて確認する仕組みと考えればわかりやすいでしょう。
情報処理試験を勉強していると、「OCSPとCRLって何が違うの?」と混乱しがちです。結論から言えば、CRLは「失効した証明書の一覧表をまとめてダウンロードする方式」、OCSPは「特定の証明書について個別に問い合わせる方式」という違いがあります。
📊 OCSPとCRLの違い
| 比較項目 | CRL(証明書失効リスト) | OCSP |
|---|---|---|
| 確認方式 | 失効証明書の一覧をダウンロード | 個別の証明書を問い合わせ |
| リアルタイム性 | 低い(定期更新) | 高い(都度確認) |
| データ量 | 大きくなりやすい | 必要な分だけ |
| 問い合わせ先 | CAのリポジトリ | OCSPレスポンダ |
解説
HTTPS通信でWebサイトにアクセスするとき、ブラウザはサーバーから送られてきた「デジタル証明書」を検証します。この証明書は認証局(CA)が発行したもので、「このサーバーは本物です」という証明になります。
ただし、証明書には有効期限がありますが、有効期限内でも失効することがあります。たとえば、秘密鍵が漏えいした場合や、証明書が誤って発行された場合などです。この「途中で失効した証明書」を見抜くための仕組みがOCSPです。
OCSPの基本的な仕組み
OCSPによる失効確認は、次の流れで行われます。まず、クライアント(ブラウザなど)がサーバー証明書を受け取ります。次に、証明書に記載されたOCSPレスポンダのURLに対して、「この証明書は失効していませんか?」と問い合わせを送ります。
OCSPレスポンダは認証局が運用するサーバーで、問い合わせに対して「good(有効)」「revoked(失効)」「unknown(不明)」のいずれかを返答します。クライアントはこの応答を見て、証明書が有効かどうかを判断します。
💡 CRLの課題をOCSPが解決
従来のCRL方式では、クライアントが「失効した証明書の一覧」を丸ごとダウンロードする必要がありました。しかし、失効証明書が増えるとリストが肥大化し、ダウンロードに時間がかかる、更新間隔があるため最新情報を反映しにくいといった課題がありました。
OCSPは「必要な証明書について、必要なときに確認する」方式なので、これらの課題を解消できます。
OCSP Stapling(ステープリング)とは
OCSPには「クライアントがOCSPレスポンダに問い合わせる」という追加の通信が発生するため、接続が遅くなる可能性があります。また、「どのサイトにアクセスしているか」がOCSPレスポンダ側にわかってしまうプライバシーの懸念もあります。
これを解決するのがOCSP Staplingです。OCSP Staplingでは、Webサーバー側が事前にOCSPレスポンスを取得しておき、TLSハンドシェイク時にクライアントへ「添付(staple)」して渡します。クライアントは別途OCSPレスポンダに問い合わせる必要がなくなり、通信の高速化とプライバシー保護が両立できます。
📌 試験ではここまででOK
基本情報・応用情報レベルでは、OCSPの基本概念(リアルタイムで証明書の失効を確認するプロトコル)とCRLとの違いを押さえておけば十分です。OCSP Staplingは、余裕があれば覚えておく程度で問題ありません。
OCSPの注意点
OCSPは便利な仕組みですが、万能ではありません。OCSPレスポンダに障害が発生したり、ネットワークの問題で問い合わせが失敗したりすることがあります。このとき、多くのブラウザは「ソフトフェイル」という方式を採用しており、OCSP確認に失敗しても接続を拒否せず、そのまま通信を続けます。
これは可用性を優先した設計ですが、攻撃者がOCSP通信を妨害できる状況では、失効確認が効かないリスクがあります。
試験ではこう出る!
OCSPは応用情報技術者試験や情報処理安全確保支援士試験で繰り返し出題されています。出題パターンは「OCSPの目的を問う問題」がほとんどで、選択肢にはCHAP、LDAP、SNMPなどの他プロトコルが並ぶことが多いです。
【押さえるべきキーワード】
- デジタル証明書の失効確認
- リアルタイム(オンライン)で確認
- OCSPレスポンダに問い合わせ
- CRLの代替手段
- 応答は「good / revoked / unknown」
試験問題で「デジタル証明書が失効しているかどうかをオンラインでリアルタイムに確認するプロトコル」という記述があれば、それは「OCSP」を指しています。「CRLをダウンロードする手間を省く」という表現もOCSPの特徴です。
📊 OCSPと紛らわしい用語(試験対策)
| 用語 | 説明 |
|---|---|
| OCSP | 証明書の失効をリアルタイムで確認するプロトコル |
| CRL | 失効した証明書の一覧(リスト形式) |
| LDAP | ディレクトリサービスへのアクセスプロトコル |
| CHAP | チャレンジレスポンス方式の認証プロトコル |
| SNMP | ネットワーク機器の監視・管理プロトコル |
📝 過去問での出題例
応用情報技術者試験(平成26年秋期 問38、令和4年秋期 問38)や情報処理安全確保支援士試験(令和3年春期 午前2 問2など)で繰り返し出題されています。
問題文は「デジタル証明書が失効しているかどうかをオンラインでリアルタイムに確認するためのプロトコルはどれか」という形式が定番です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、試験形式のクイズで確認してみましょう。
Q. PKIを構成するOCSPを利用する目的として、最も適切なものはどれでしょうか?
- A. 公開鍵と秘密鍵のペアを生成し、認証局に登録を依頼する
- B. 有効期限が切れた証明書の更新処理を自動的に実行する
- C. デジタル証明書の失効情報をリアルタイムで問い合わせる
正解と解説を見る
正解:C
解説:
OCSPは「Online Certificate Status Protocol」の略で、デジタル証明書が失効していないかをオンラインでリアルタイムに確認するためのプロトコルです。クライアントはOCSPレスポンダに対して証明書のシリアル番号を送信し、「good(有効)」「revoked(失効)」「unknown(不明)」といった応答を受け取ります。CRLのように失効リスト全体をダウンロードする必要がなく、必要な証明書の状態だけを効率的に確認できる点が特徴です。
選択肢Aは鍵ペアの生成・登録に関する説明で、OCSPとは無関係です。選択肢Bは証明書の更新処理に関する説明ですが、OCSPは失効確認のためのプロトコルであり、更新処理は行いません。
