情報セキュリティ講座(56)　デジタル証明書の失効証明書(CRL)

デジタル証明書は、有効期限があります。しかし有効期限内でも、失効することがあります。

秘密鍵が漏洩するなど、セキュリティ上の事故が起きると、デジタル証明書の信頼性が損なわれます。そのような場合は、被認証者自ら、CAに失効届けを出して、デジタル証明書を無効化するのです。

CAは、有効期限内に失効したデジタル証明書のシリアル番号と失効日のリストを作成して公開します。これを、証明書失効リスト(CRL = Certificate Revocation List)と言います。これにより、認証者は、失効したデジタル証明書で誤った認証をすることを避けることができます。

CRLを集中的に管理するのが、VA(Verification Authority)です。デジタル証明書の発行は行いません。

デジタル証明書の有効性を確認するためのプロトコルも存在します。OCSP(Online Certificate Status Protocol)です。CRLを確認するのではなく、失効状況を問い合わせるための手順です。

デジタル証明書を失効させる手続きと似ているのが、不動産登記の際の、登記識別情報の無効化申請だと思います。悪用されると、不正登記が行われる危険があるので、流出したかもしれない登記識別情報は、正当な登記名義人が登記所に対して無効化申請するのです。

情報が漏洩した場合に、その情報そのものを無効化する仕組みは、セキュリティ上大切な仕組みですね。