ページ更新日:2026/07/04
OCSP失効確認とは、SSL証明書が有効期限内であっても途中で失効(revoke)されていないかを、認証局(CA)に問い合わせて確認する仕組みです。
証明書は秘密鍵の漏洩やサーバー廃止などの理由で、有効期限前に失効させられることがあります。ブラウザや当社のSSL証明書インストールチェッカーは、この失効状態をOCSPやCRLで確認しています。
| 方式 | 仕組み |
| OCSP (Online Certificate Status Protocol) |
証明書1枚ごとに「この証明書は失効している?」を認証局のOCSPレスポンダーへリアルタイムに問い合わせ、good / revoked / unknown の応答を得る。 |
| CRL (Certificate Revocation List) |
認証局が公開する「失効済み証明書の一覧(リスト)」をダウンロードして照合する。リストが大きくなりやすい。 |
現在の主流はOCSPで、証明書には失効確認先のURL(OCSPレスポンダー)が記載されています。OCSPが使えない場合の代替としてCRLが使われます。
失効の「申請」手続きそのものについてはSSL証明書の失効手続きについてを、失効後の再取得はSSL証明書の再発行についてをご覧ください。
失効した証明書のサイトを開くと、ブラウザは「この証明書は失効しています」といった警告を表示します。
ただし、多くのブラウザはOCSPの応答が得られないとき接続を許可する「ソフトフェイル」動作のため、ネットワーク状況によっては失効を見逃すことがあります。確実な確認にはコマンドやツールを併用します。
# サーバーから証明書チェーンを取得 openssl s_client -connect example.com:443 -servername example.com \ -showcerts </dev/null 2>/dev/null > chain.pem # サーバー証明書(cert.pem)と中間証明書(issuer.pem)を分割したうえで、 # OCSPレスポンダーのURLを確認 openssl x509 -in cert.pem -noout -ocsp_uri # OCSPで失効確認 openssl ocsp -issuer issuer.pem -cert cert.pem \ -url http://ocsp.digicert.com -header "Host=ocsp.digicert.com" -no_nonce
応答が cert.pem: good なら有効、cert.pem: revoked なら失効しています。Revocation Time に失効日時が表示されます。
コマンド操作なしで確認したい場合は、当社のSSL証明書インストールチェッカーにドメインを入力してください。「OCSP失効確認」の項目に結果が表示されます。
good が返っています。revoked が返っています。至急、証明書の再発行が必要です。
名前が似ていますが役割が異なります。
OCSP失効確認は「クライアント(またはツール)が認証局へ失効状態を問い合わせる」行為そのものです。
OCSP Staplingは、その問い合わせをサーバーが代行してOCSP応答を証明書と一緒に配信する高速化・プライバシー保護の仕組みです。詳しくはOCSP Staplingとは?をご覧ください。
自社サイトの証明書が「失効」と表示された場合、その証明書ではブラウザ警告が出て利用できません。速やかに証明書を再発行してください。当社でご購入の証明書は再発行を代行できます(再発行について)。
秘密鍵漏洩が原因の場合は、必ず新しい秘密鍵とCSRで再発行してください。
📌 関連ページ:
OCSP Staplingとは?Apache・Nginxでの設定手順と確認方法
SSL証明書の失効手続きについて
SSL証明書の再発行について
SSL証明書インストールチェッカー