CRL

企業の内部ネットワークで、定期的に更新されるCRLファイルを一括してダウンロードし、各クライアントがローカルに保存されたリストを参照することで、証明書の失効を確認します。この方法はネットワークの負荷を軽減し、安定した環境で有効です。

OCSP

オンラインショッピングサイトでは、ユーザーがクレジットカード情報を入力する際に、SSL証明書の有効性をリアルタイムで確認するためにOCSPを使用します。これにより、即座に失効証明書を検知し、ユーザーの情報を保護します。

CRLとOCSPの対比

将来性について

CA/ブラウザフォーラムは、CRLの利用を縮小し、OCSPの利用を推進する意向を示しています。これは、セキュリティの向上とユーザーエクスペリエンスの改善を目的としています。CRLは、大量の失効情報を含むため、更新が遅れたり、ダウンロードに時間がかかったりすることが問題です。一方、OCSPは特定の証明書のステータスをリアルタイムで確認できるため、ユーザーに即時の応答を提供します。特に、インターネットの普及と高速化が進む現代では、即時性が重要視されます。

また、OCSPにはステープリングという技術もあり、これによりサーバーがOCSPレスポンダーからの最新の失効情報をキャッシュし、クライアントに対して提供することができます。これにより、レスポンス時間がさらに短縮され、セキュリティも向上します。

将来的には、OCSPとそのステープリングの利用がさらに一般化し、CRLは段階的に廃止されると予想されます。これにより、インターネット上の安全性と信頼性が向上し、ユーザーの利便性も高まるでしょう。CAやサービスプロバイダーは、これらの技術の採用と適応に努めることで、セキュアなインターネット環境の構築に寄与することが求められます。