メニュー
【SSL証明書】FAQ/情報

OCSP失効確認とは?SSL証明書の失効をチェックする方法

ページ更新日:2026/07/04

OCSP失効確認とは、SSL証明書が有効期限内であっても途中で失効(revoke)されていないかを、認証局(CA)に問い合わせて確認する仕組みです。
証明書は秘密鍵の漏洩やサーバー廃止などの理由で、有効期限前に失効させられることがあります。ブラウザや当社のSSL証明書インストールチェッカーは、この失効状態をOCSPCRLで確認しています。

失効確認の2つの方式:OCSPとCRL

方式 仕組み
OCSP
(Online Certificate Status Protocol)
証明書1枚ごとに「この証明書は失効している?」を認証局のOCSPレスポンダーへリアルタイムに問い合わせ、good / revoked / unknown の応答を得る。
CRL
(Certificate Revocation List)
認証局が公開する「失効済み証明書の一覧(リスト)」をダウンロードして照合する。リストが大きくなりやすい。

現在の主流はOCSPで、証明書には失効確認先のURL(OCSPレスポンダー)が記載されています。OCSPが使えない場合の代替としてCRLが使われます。

証明書が失効するのはどんなとき?

失効の「申請」手続きそのものについてはSSL証明書の失効手続きについてを、失効後の再取得はSSL証明書の再発行についてをご覧ください。

失効を確認する方法

1. ブラウザで確認する

失効した証明書のサイトを開くと、ブラウザは「この証明書は失効しています」といった警告を表示します。
ただし、多くのブラウザはOCSPの応答が得られないとき接続を許可する「ソフトフェイル」動作のため、ネットワーク状況によっては失効を見逃すことがあります。確実な確認にはコマンドやツールを併用します。

2. opensslコマンドで確認する

# サーバーから証明書チェーンを取得
openssl s_client -connect example.com:443 -servername example.com \
  -showcerts </dev/null 2>/dev/null > chain.pem

# サーバー証明書(cert.pem)と中間証明書(issuer.pem)を分割したうえで、
# OCSPレスポンダーのURLを確認
openssl x509 -in cert.pem -noout -ocsp_uri

# OCSPで失効確認
openssl ocsp -issuer issuer.pem -cert cert.pem \
  -url http://ocsp.digicert.com -header "Host=ocsp.digicert.com" -no_nonce

応答が cert.pem: good なら有効、cert.pem: revoked なら失効しています。Revocation Time に失効日時が表示されます。

3. オンラインツール(SSLチェッカー)で確認する

コマンド操作なしで確認したい場合は、当社のSSL証明書インストールチェッカーにドメインを入力してください。「OCSP失効確認」の項目に結果が表示されます。

OCSP失効確認とOCSP Staplingの違い

名前が似ていますが役割が異なります。
OCSP失効確認は「クライアント(またはツール)が認証局へ失効状態を問い合わせる」行為そのものです。
OCSP Staplingは、その問い合わせをサーバーが代行してOCSP応答を証明書と一緒に配信する高速化・プライバシー保護の仕組みです。詳しくはOCSP Staplingとは?をご覧ください。

失効していた場合の対処

自社サイトの証明書が「失効」と表示された場合、その証明書ではブラウザ警告が出て利用できません。速やかに証明書を再発行してください。当社でご購入の証明書は再発行を代行できます(再発行について)。
秘密鍵漏洩が原因の場合は、必ず新しい秘密鍵とCSRで再発行してください。

📌 関連ページ:
OCSP Staplingとは?Apache・Nginxでの設定手順と確認方法
SSL証明書の失効手続きについて
SSL証明書の再発行について
SSL証明書インストールチェッカー