クライアント証明書の導入に関心のある多くの方が、その配布方法を重視されていることを感じますが、その無効化については、それほど関心を持たれていない印象を受けています。（電子証明書の世界では、証明書の無効化を「失効」と呼んでいます。）

証明書の失効は、クライアント証明書の利用において配布と同じくらい重要な要素であると当編集部では考えておりますので、今回のブログ記事ではこの失効について解説していきます。

証明書の失効とは

証明書の失効とは、証明書と対になる「秘密鍵」が漏洩などで文字通り秘密の状態を保つことができなくなり、その結果として他者による鍵の不正利用が可能な状態に陥った際などに、認証局がその証明書を無効化することで対となる鍵の信頼性を失わせることを指しています。例えば、クレジットカードやキャッシュカードの盗難・紛失の際に、発行元に連絡しそのカードを無効にしてもらうと思いますが、それと同じようなイメージです。

証明書失効の例としては、クライアント証明書をインストールしたデバイスを利用者が紛失した場合、または利用者の異動や退職に伴い証明書を利用することがなくなった場合が挙げられます。証明書をそのまま放置しておくと、その証明書を利用して引き続きアクセスできてしまうことから情報漏洩リスクが残るため、システム管理者は認証局で失効操作を行います。

その後、アクセス対象の認証サーバ（WebサーバやVPNサーバなど）は認証局から失効情報を得ることでその証明書を無効なものと見なし、該当のクライアントからのアクセスを拒否するといった流れになります。

 

証明書失効情報の伝達方法

認証局における失効情報の伝達方法として、ひとつはオンライン上で失効情報の問い合わせを行うオンライン証明書状態プロトコル (OCSP: Online Certificate Status　Protocol) を使う方式、もう一つは失効された証明書の一覧 (CRL: Certificate Revocation List) を認証局が公開し、認証サーバがそれを一定時間おきにダウンロードして失効を確認する方式があります。

いずれの方式でも、認証サーバは失効情報を得るために認証局との間での通信が必要になります。

認証サーバの可用性の重要性

認証サーバが証明書の失効状態をネットワーク障害などの何らかの理由で確認できない場合、不正なアクセスが許可されるというセキュリティリスクのみならず、認証サーバによっては正常なアクセスをも拒否してしまうなどサービスレベル全体を低下させる恐れがあります。そのため、クライアント証明書の運用において失効情報の提供サービスの可用性は重要なポイントになると言えるでしょう。

ただし、十分な可用性を担保するには相応のコストが発生します。企業内での認証局システムではなかなかそのようなコストまでは捻出できないのではないでしょうか？

グローバルサインでは共用CAサービスとお客様専用CAサービス（プライベートCA）ともに失効情報の提供方式としてOCSP/CRLに対応しており、それらサービスは複数のコンテンツ・デリバリ・ネットワーク（CDN）を駆使して高い可用性と冗長性を確保しています。また、それら失効情報の提供サービスへのアクセスに不可欠となる名前解決サービス (DNS) についても専用サーバとホスティングの両方で提供することで、同様に高可用性・冗長性を確保しております。そのため、クライアント証明書を利用する世界中のお客様に対し、万が一の事態にも常に安定した環境で失効対応できるようにしてあります。

※グローバルサインでは失効情報の提供の重要性を鑑みて、Hosted OCSPというサードパーティCA向けの失効情報提供専用サービスも提供しております。

まとめ

失効は、証明書の配布と同じくらい重要な要素であり、適切な失効確認がなされていないとセキュリティリスクが高まるだけでなく、サービス提供自体にも影響が出る可能性があります。そのため、現在クライアント証明書を利用されている方は、その失効確認についてどのような環境になっているか改めてチェックしてみることをおすすめいたします。