Open棟梁Project - マイクロソフト系技術情報 Wiki
目次 †
概要 †
証明書失効リスト(CRL : Certificate Revocation List)
公開鍵基盤 (PKI) における失効した(信頼できない)公開鍵証明書のリスト(正確には、証明書のシリアル番号のリスト)。
実際の運用において証明書や鍵の管理に間違いがありうるため、CRLや他の証明書の有効性検証技術はPKIに必須。
- CRLはPKIを使ったアプリケーションが証明書の有効性を検証するのに使われる。
- CRLの発行・公開
- CRLは定期的に生成され、公開される。
- 証明書が失効となった場合、即座にCRLを公開することもできる。
- CRLはCAが適切な証明書付きで発行する。
- たいていのCRLには次回発行予定日時がある。
- この日時は発行日時から 24 時間以内であることが多い。
失効理由 †
RFC 5280 で定義されている証明書の失効理由
Revoked(失効) †
認証局 (CA) が †
- 不正に証明書を発行したことが判明した場合
- 秘密鍵を紛失したと考えられる場合、
証明書は不可逆に失効とされる。
証明書の発行を受けた者が †
CAの定めた規則に反する行為(文書偽造など)をしていると判明した場合。
最も多い失効理由 †
秘密鍵が漏洩してしまい、認証の役に立たなくなった場合。
Hold(停止) †
再度証明書を有効な状態に戻すことができる場合。
例えば、ユーザーが秘密鍵を紛失したか盗まれた可能性がある場合
一時的に証明書を停止させ、後日それが間違いで
誰もその間秘密鍵にアクセスできなかったことが判明した場合
その場合、その証明書のシリアル番号はCRLから削除される。
失効のチェック方法 †
CRLファイルをダウンロードしてローカルチェック †
- 認証局(CA)から定期的に最新情報が配布されるCRLをダウンロード。
- 証明書のシリアル番号とCRLのシリアル番号を照合して有効性を確認。
OCSP(Online Certificate Status Protocol)によるオンラインチェック †
OCSPクライアントが
OCSPサーバ( OCSPレスポンダ )に対して
デジタル証明書の有効性を確認させる。
- X.509公開鍵証明書の失効状態を取得するための通信プロトコル
- CRLファイルのダウンロードの代替手段として策定された。
- デジタル証明書の有効性をリアルタイムで確認できる。
OCSPサーバ(OCSPレスポンダ) †
CA自身やCRLを集中管理するVAが運営する。
- VA(Validation Authority)
- デジタル証明書の失効リストを集中管理して証明書の有効性をチェックするシステム。
- 認証局(CA)とは異なり、デジタル証明書の発行は行わずに検証機能に特化している。
参考 †
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
