「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
証明書失効リスト(CRL : Certificate Revocation List)
- PKI(公開鍵暗号基盤)における失効した(信頼できない)
公開鍵証明書のリスト(正確には、証明書のシリアル番号のリスト)。
- 実際の運用において証明書や鍵の管理に間違いがありうるため、
CRLや他の証明書の有効性検証技術はPKIに必須。
- CRLはPKIを使ったアプリケーションが
証明書の有効性を検証するのに使われる。
- 以下は、CRLの発行・公開の方法。
- CRLは定期的に生成され、公開される。
- 証明書が失効となった場合、即座にCRLを公開することもできる。
- CRLはCAが適切な証明書付きで発行する。
- たいていのCRLには次回発行予定日時がある。
- この日時は発行日時から 24 時間以内であることが多い。
失効理由 †
RFC 5280 で定義されている証明書の失効理由
Revoked(失効) †
認証局 (CA) が †
- 不正に証明書を発行したことが判明した場合
- 秘密鍵を紛失したと考えられる場合、
証明書は不可逆に失効とされる。
証明書の発行を受けた者が †
CAの定めた規則に反する行為(文書偽造など)をしていると判明した場合。
最も多い失効理由 †
秘密鍵が漏洩してしまい、認証の役に立たなくなった場合。
Hold(停止) †
再度証明書を有効な状態に戻すことができる場合。
例えば、ユーザーが秘密鍵を紛失したか盗まれた可能性がある場合
一時的に証明書を停止させ、後日それが間違いで
誰もその間秘密鍵にアクセスできなかったことが判明した場合
その場合、その証明書のシリアル番号はCRLから削除される。
失効のチェック方法 †
CRLファイルをダウンロードしてローカルチェック †
- 認証局(CA)から定期的に最新情報が配布されるCRLをダウンロード。
- 証明書のシリアル番号とCRLのシリアル番号を照合して有効性を確認。
OCSPによるオンラインチェック †
- OCSP : Online Certificate Status Protocol
- X.509公開鍵証明書の失効状態を取得するための通信プロトコル
- CRLファイルのダウンロードの代替手段として策定された。
- デジタル証明書の有効性をリアルタイムで確認できる。
OCSPサーバ(OCSPレスポンダ) †
VA(Validation Authority)
リアルタイム性の確保 †
OCSPでは、ルート証明書までの証明書チェーンを、
DNSの反復クエリ的にクエリする必要がある。
CRLの即時性を高めていく方法 †
ユーザに有効性を判断させる方法 †
CAとは別にVAを設け、
VAがCRLの有効性を証明する方法
その他のプロトコル †
DNSの再帰クエリ的に、
サーバが対応するようなプロトコルが出てきている。
- DPD + DPV
- 証明書パス構築 (DPD: Delegated Path Discovery)
- 証明書パス検証 (DPV: Delegated Path Validation)
- SCVP
SCVP:Simple Certificate Validation Protocol
- シンプル証明書検証プロトコル
- 有効期限とパスにおける正当性も含めてチェックする。
参考 †
Windowsの場合 †
Windowsの場合、Vista、IE7以降でリアルタイム・チェック機能が実装された。
Tags: :セキュリティ, :暗号化, :証明書
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
