- 追加された行はこの色です。
- 削除された行はこの色です。
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。
-[[戻る>証明書で発生する問題]]
* 目次 [#f6ff7c22]
#contents
*概要 [#s0114847]
証明書失効リスト(CRL : Certificate Revocation List)
-[[PKI(公開鍵暗号基盤)]]における失効した(信頼できない)公開鍵証明書のリスト(正確には、証明書のシリアル番号のリスト)。
-[[PKI(公開鍵暗号基盤)]]における失効した(信頼できない)~
公開鍵証明書のリスト(正確には、証明書のシリアル番号のリスト)。
-実際の運用において証明書や鍵の管理に間違いがありうるため、CRLや他の証明書の有効性検証技術は[[PKI>PKI(公開鍵暗号基盤)]]に必須。
-実際の運用において証明書や鍵の管理に間違いがありうるため、~
CRLや他の証明書の有効性検証技術は[[PKI>PKI(公開鍵暗号基盤)]]に必須。
-CRLは[[PKI>PKI(公開鍵暗号基盤)]]を使ったアプリケーションが証明書の有効性を検証するのに使われる。
-CRLは[[PKI>PKI(公開鍵暗号基盤)]]を使ったアプリケーションが~
証明書の有効性を検証するのに使われる。
-以下は、CRLの発行・公開の方法。
--CRLは定期的に生成され、公開される。
--証明書が失効となった場合、即座にCRLを公開することもできる。
--CRLはCAが適切な証明書付きで発行する。
---たいていのCRLには次回発行予定日時がある。
---この日時は発行日時から 24 時間以内であることが多い。
*失効理由 [#fd00664d]
RFC 5280 で定義されている証明書の失効理由
**Revoked(失効) [#u1532c79]
***認証局 (CA) が [#g2978501]
-不正に証明書を発行したことが判明した場合
-秘密鍵を紛失したと考えられる場合、
証明書は不可逆に失効とされる。
***証明書の発行を受けた者が [#ade7504a]
CAの定めた規則に反する行為(文書偽造など)をしていると判明した場合。
***最も多い失効理由 [#i07e6652]
秘密鍵が漏洩してしまい、認証の役に立たなくなった場合。
**Hold(停止) [#k764e2c9]
再度証明書を有効な状態に戻すことができる場合。
例えば、ユーザーが秘密鍵を紛失したか盗まれた可能性がある場合
一時的に証明書を停止させ、後日それが間違いで~
誰もその間秘密鍵にアクセスできなかったことが判明した場合~
その場合、その証明書のシリアル番号はCRLから削除される。
*失効のチェック方法 [#oc6c824d]
**CRLファイルをダウンロードしてローカルチェック [#uc7c3a39]
-認証局(CA)から定期的に最新情報が配布されるCRLをダウンロード。
-証明書のシリアル番号とCRLのシリアル番号を照合して有効性を確認。
**OCSP(Online Certificate Status Protocol)によるオンラインチェック [#g9c719fb]
OCSPクライアントが~
OCSPサーバ( OCSPレスポンダ )に対して~
デジタル証明書の有効性を確認させる。
**代替手段、OCSPによるオンラインチェック [#g9c719fb]
OCSP : Online Certificate Status Protocol
-X.509公開鍵証明書の失効状態を取得するための通信プロトコル
-CRLファイルのダウンロードの代替手段として策定された。
-デジタル証明書の有効性をリアルタイムで確認できる。
***OCSPクライアント [#o31e73bc]
[[OCSPサーバ( OCSPレスポンダ )>#qbcb18f3]]に対し、~
デジタル証明書の有効性を確認させる。
***OCSPサーバ(OCSPレスポンダ) [#qbcb18f3]
CA自身やCRLを集中管理するVAが運営する。
[[検証局 (VA:Validation Authority)>PKI(公開鍵暗号基盤)#j3085a65]]
-VA(Validation Authority)
--デジタル証明書の失効リストを集中管理して証明書の有効性をチェックするシステム。
--認証局(CA)とは異なり、デジタル証明書の発行は行わずに検証機能に特化している。
**リアルタイム性の確保 [#w1c92dc9]
*Windowsの場合 [#g8f720fa]
-CRL 配布ポイントを指定する~
https://technet.microsoft.com/ja-jp/library/cc753296.aspx
-証明書失効リストの詳細を表示する~
https://technet.microsoft.com/ja-jp/library/cc730795.aspx
***CRL [#g26fe423]
-CRL : Certificate Revocation List
*[[証明書信頼リスト (CTL)]] [#r8b7e957]
-CRLファイルをダウンロードして照合する方式なので課題も多い。
--更新タイミング
--ファイルの保存場所
***OCSP [#tb130bff]
-OCSP : Online Certificate Status Protocol
-OCSPでは、ルート証明書までの証明書チェーンを、~
[[DNSの反復クエリ>DNSサーバ#a04f4c5b]]的にクエリする必要がある。
***その他のプロトコル [#j93d88e6]
[[DNSの再帰クエリ>DNSサーバ#a04f4c5b]]的に、~
サーバが対応するようなプロトコルが出てきている。
-DPD + DPV
--証明書パス構築 (DPD: Delegated Path Discovery)
--証明書パス検証 (DPV: Delegated Path Validation)
-SCVP~
SCVP:Simple Certificate Validation Protocol
--シンプル証明書検証プロトコル
--有効期限とパスにおける正当性も含めてチェックする。
*参考 [#r5f9e354]
-証明書失効リスト - Wikipedia~
https://ja.wikipedia.org/wiki/%E8%A8%BC%E6%98%8E%E6%9B%B8%E5%A4%B1%E5%8A%B9%E3%83%AA%E3%82%B9%E3%83%88
-CRL(証明書失効リスト)とは、OCSPとは~
http://www.infraexpert.com/study/sslserver13.html
-PKI基礎講座(5):証明書の有効性 - @IT~
http://www.atmarkit.co.jp/ait/articles/0102/23/news002.html
**Windowsの場合 [#g8f720fa]
Windowsの場合、Vista、IE7以降でリアルタイム・チェック機能が実装された。
-CRL 配布ポイントを指定する~
https://technet.microsoft.com/ja-jp/library/cc753296.aspx
-証明書失効リストの詳細を表示する~
https://technet.microsoft.com/ja-jp/library/cc730795.aspx
**[[証明書信頼リスト (CTL)]] [#r8b7e957]
----
Tags: [[:セキュリティ]], [[:暗号化]], [[:証明書]]
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
