はじめに
空子/情報セキュリティマネジメント担当ネットショッピングやオンラインバンキングを利用するとき、ブラウザのアドレスバーに鍵マークが表示されているのを見たことがあるでしょうか。あの鍵マークは「この通信は安全ですよ」というサインです。しかし、その安全性を裏側で支えている仕組みについて知っている人は多くありません。
今回は、インターネットの安全を陰で支える重要な技術のひとつ「OCSP(Online Certificate Status Protocol)」について、できるだけわかりやすく解説します。
そもそも「証明書」って何?
空子/情報セキュリティマネジメント担当OCSPを理解するためには、まず「SSL/TLS証明書(電子証明書)」について知る必要があります。
インターネット上でやり取りされる情報を暗号化して守る仕組みがSSL/TLSです。Webサイトがこの暗号化通信を行うためには、「このサイトは信頼できますよ」という”お墨付き”が必要になります。それが電子証明書です。
たとえるなら、電子証明書は「運転免許証」のようなものです。免許証があることで「この人は公的機関に認められたドライバーです」と証明できるのと同じように、電子証明書があることで「このWebサイトは認証機関に認められた正当なサイトです」と証明できるわけです。
証明書にも「期限切れ」や「無効」がある
空子/情報セキュリティマネジメント担当運転免許証に有効期限があるように、電子証明書にも有効期限があります。さらに、有効期限内であっても、何らかの理由で証明書が「失効(無効化)」されることがあります。
たとえば、サイト運営者の秘密鍵(暗号化に使う非常に重要なデータ)が流出してしまった場合、その証明書は直ちに無効にしなければなりません。
ここで問題になるのが、「ユーザーのブラウザが、今アクセスしているサイトの証明書が本当にまだ有効かどうかをどうやって確認するか?」ということです。
昔ながらの方法「CRL」の限界
空子/情報セキュリティマネジメント担当OCSPが登場する前は、「CRL(Certificate Revocation List/証明書失効リスト)」という方法が使われていました。これは、失効した証明書の一覧をリストにまとめて公開し、ブラウザがそのリストをダウンロードして確認するという仕組みです。
しかしこの方法には大きな課題がありました。インターネットが普及するにつれて失効する証明書の数が膨大になり、リストのファイルサイズがどんどん大きくなってしまったのです。毎回巨大なリストをダウンロードするのは時間がかかりますし、通信量も増えます。スマートフォンなどのモバイル環境では特に大きな負担でした。
OCSPの登場 ― ピンポイントで確認する方法
空子/情報セキュリティマネジメント担当こうした課題を解決するために生まれたのがOCSP(Online Certificate Status Protocol)です。OCSPの仕組みはとてもシンプルです。
巨大なリストを丸ごとダウンロードする代わりに、ブラウザが「この証明書は今も有効ですか?」と認証機関(正確にはOCSPレスポンダと呼ばれるサーバー)に問い合わせ、認証機関が「有効です」「失効しています」「不明です」のいずれかを回答するという仕組みです。
イメージとしては、電話帳を一冊丸ごと受け取って自分で調べるのではなく、電話で「この番号はまだ使われていますか?」と問い合わせるようなものです。必要な情報だけをピンポイントで取得できるため、通信量が大幅に削減され、確認にかかる時間も短縮されます。
OCSPにも弱点がある
空子/情報セキュリティマネジメント担当便利なOCSPですが、いくつかの弱点も指摘されています。
まず「プライバシーの問題」です。ブラウザがOCSPレスポンダに問い合わせるたびに、「このユーザーはこのサイトにアクセスしようとしている」という情報が認証機関に伝わってしまいます。つまり、どのサイトを訪問しているかが第三者に知られる可能性があるのです。
次に「パフォーマンスの問題」です。Webサイトにアクセスするたびに、OCSPレスポンダへの問い合わせが発生します。OCSPレスポンダの応答が遅い場合、ページの表示が遅くなることがあります。
さらに「可用性の問題」もあります。OCSPレスポンダ自体がダウンしてしまった場合、証明書の有効性を確認できなくなります。多くのブラウザはこのような場合に「確認できないけれど、とりあえず有効として扱う(ソフトフェイル)」という動作をしますが、これではセキュリティ上のリスクが残ります。
これらの弱点を補う「OCSPステープリング」
空子/情報セキュリティマネジメント担当こうした弱点を補うために考え出されたのが「OCSPステープリング(OCSP Stapling)」という技術です。
通常のOCSPでは、ユーザーのブラウザが認証機関に問い合わせますが、OCSPステープリングでは、Webサイトのサーバー自身があらかじめ認証機関からOCSPの回答を取得しておき、それをユーザーのブラウザに”ステープル(ホチキス留め)”して渡します。
これにより、ユーザーのブラウザは認証機関に直接問い合わせる必要がなくなります。プライバシーが守られ、ページの表示速度も改善され、OCSPレスポンダの負荷も軽減されるという一石三鳥の仕組みです。
最近の動向 ― OCSPからの移行も
空子/情報セキュリティマネジメント担当近年では、OCSPに依存しない新しいアプローチが主流になりつつあります。 たとえば Let’s Encrypt は 2025年8月6日に OCSP レスポンダを完全に停止し、証明書から OCSP URL も削除しました。Must-Staple も終了し、現在は 短期証明書と CRL を中心とした運用に移行しています。
また、ブラウザ側も OCSP を使わない方向に進んでいます。 Google Chrome は OCSP を基本的に利用せず、独自の CRLSets で「重大な失効のみ」を配信。 Firefox は Mozilla の技術である CRLite を採用し、全失効情報をローカルに保持することで OCSP を完全に不要にしています。
まとめ
OCSPは、私たちが安全にインターネットを利用するための重要な仕組みのひとつです。普段は意識することのない技術ですが、ネットショッピングやオンラインバンキングを行うたびに、裏側ではこうした仕組みが動いて私たちの情報を守っています。
空子/情報セキュリティマネジメント担当技術は日々進化しており、OCSPに代わる新しい手法も登場していますが、「証明書が本当に信頼できるかを確認する」という基本的な考え方は変わりません。鍵マークの裏側にある技術を知ることで、インターネットの安全性をより深く理解するきっかけになるはずです。
コメント