# OCSP ソフトフェイルの影響

メリットとデメリットに入る前に、まずこの設定が何を意味するのかを簡単におさらいしましょう:

注意: これらの例はすべて、申請側が有効な証明書（失効していない、信頼された CA によって発行された）を持っている認証の動作を説明しています。

#### ソフトフェイル = 有効

タイムアウトや不正なデータなど、OCSP 応答者の問い合わせ時に問題が発生した場合、アプリケーションは証明書失効状態を '**good**'.

#### ソフトフェイル = 無効

タイムアウトや不正なデータなど、OCSP 応答者の問い合わせ時に問題が発生した場合、アプリケーションは証明書失効状態を '**失効済み**'.&#x20;

を使用し、 **OCSP-Autodetect** かつクライアント証明書に OCSP 応答者 URL が含まれていない場合、アプリケーションは証明書失効状態を '**失効済み**'.&#x20;

## メリットとデメリット

### ソフトフェイル有効

#### メリット

1. **高い可用性と中断の削減**
   * 一時的なネットワーク問題や一時的な OCSP 応答者の停止によって、ユーザーが突然認証失敗を経験する可能性が低くなります。
   * ユーザー体験を改善し、OCSP の接続性やサービス問題のみに起因する「接続できない」問題に関するサポート問い合わせを減らします。
2. **OCSP サービス停止への高い耐性**
   * OCSP ホスティングプロバイダーでダウンタイムや証明書関連の問題が発生しても、認証は引き続き成功します。
3. **事業継続への影響が最小限**
   * 特に、ダウンタイムのコストが高い環境（例: 重要インフラ、緊急サービス、または 24 時間 365 日稼働の事業）では重要です。

#### デメリット

1. **セキュリティリスク: 失効した証明書が受け入れられる可能性**
   * OCSP が利用できない、またはその他の問題により RADIUS サーバーの失効状態検証に失敗すると、失効した証明書が受け入れられます。
   * これは証明書ベース認証の信頼モデルを損ない、攻撃者が意図的に OCSP 失敗を引き起こした場合に悪用される可能性があります。
2. **システム全体の問題の可視性不足**
   * システムが失効チェックを黙ってバイパスすると、OCSP 応答者がダウンしている、または設定ミスがあることに管理者がすぐ気付かず、脆弱性のある期間が長引く可能性があります。

### ソフトフェイル無効

#### メリット

1. **より高いセキュリティ保証**
   * OCSP 応答者に対して正しく検証できない証明書はすべて拒否されます。
   * 失効した、または何らかの形で侵害された証明書の使用を防ぎます。
2. **明確な運用上のシグナル**
   * 認証が突然失敗し始めた場合、OCSP の可用性や構成の問題に迅速に注意を向けさせます。
   * OCSP チェックが成功しない限り誰も認証できないため、管理者は接続性や信頼チェーンの問題を即座に把握できます。

#### デメリット

1. **単一障害点**
   * OCSP 応答者がダウンしている、DDoS 攻撃を受けている、到達不能、または設定ミスがある場合、 **すべての** 有効な証明書の認証は失敗します。
   * 重大な業務停止と大量のサポート問い合わせを引き起こす可能性があります。
2. **OCSP サービスの稼働時間への依存**
   * OCSP サービスは高可用で、堅牢に監視されている必要があることを意味します。
   * 大規模な停止を防ぐため、十分なフェイルオーバー計画（例: 複数の OCSP 応答者、ロードバランシング、または冗長化）が必要です。
   * 応答者の更新計画が必要
3. **ユーザーにとっての苛立ちの可能性**
   * OCSP チェックが完了できないという理由だけで、まったく有効な証明書を持っていても接続できません。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.radiusaas.com/ja/sono/faqs/ocsp-sofutofeiruno.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.