情報セキュリティ対策|電子証明書の寿命

電子証明書の寿命

電子証明書は、当然ですが未来永劫有効ではありません。
印鑑証明書と同様、そこには有効期限が存在します。

しかし、気をつけなければならないのは、
たとえ有効期限であっても、失効する場合があるということです。

典型例は、「秘密鍵の紛失や盗難」になります。
クレジットカードもそうですが、紛失してしまったらすぐさま利用停止を行う必要があります。

その他、「暗号方式の危殆化」というものがあります。
これは日進月歩の技術の世界では仕方がないことですが、
たとえば利用中の暗号方式に脆弱性が見つかったり、
圧倒的な処理速度のマシンが登場して解析速度が速まり安全でなくなった、
などといったことが原因となります。

有効期限が切れた証明書を使っている場合、
「このWebサイトのセキュリティ証明書には問題があります」
という表示がでてきます。

CRL(Certificate Revocation List)

執行された証明書は、CRL、証明書失効リストとして公開されます。

CRLは、全ての失効証明書が記載されています。
基本的にCRLに全てを詰め込んでおけばOKなので、
サーバー管理側の都合ではラクなのですが、
その反面、不要なリストも含んでしまうためでデータサイズが大きくなってしまう欠点があります。

そこで、次にご紹介するOCSPという方法でその問題を解消することができます。

OCSP(Online Certificate Status Protocol)

OCSPは証明書の情報を送信し、CRLのリストにあるかどうかを返答するプロトコルです。
必要な証明書の情報だけを返答するため、CRLを膨大に抱え込んでおく必要がありません。

ただし、OCSPを利用するにはそのプロトコルの通信処理部分を実装する必要があります。
この煩雑さと費用対効果から、普及していないのが実情になります。

以上、電子証明書の寿命とそのチェック方法についてご紹介しました。