本章では、信頼性の失われた証明書を失効させる必要性と、失効情報の通知方法について解説します。失効情報の通知方法として、周期的発行方式とオンライン問い合わせ方式を取り上げ、両者のメリットとデメリットや適用シーンについて考察します。
周期的発行方式では、RFC2459 のプロファイルに基づく CRL のフォーマットや、完全 CRL、区分 CRL、デルタ CRL、間接 CRL、ARL、証明書失効ツリー (CRT) といった CRL の運用モデルについて解説します。
オンライン問い合わせ方式では、OSCP の構成と動作方式について解説します。
証明書が有効期限内であるにも関わらず、証明書の資格が失われた場合は、その証明書を利用できないようにする必要があります。秘密鍵を紛失し第三者に悪用されることが予測される場合 [56] や証明書に記載した事項の変化などの場合がその例です。このような事実を CA が知り得た場合や PKI ユーザから申告があった場合は、CA はその証明書を無効にします。このことを証明書の失効と呼びます。証明書の失効情報は、利用者に通知されなければなりません。
証明書の失効情報を PKI ユーザに通知する方式には、次の 2つの方式があります。
(1) CRL モデル
CA が失効された証明書のリストを定期的に公開する方式です。この失効された証明書のリストを、証明書失効リスト (CRL: Certificate Revocation List) といいます。証明書利用者は定期的に CRL を取得することによって、証明書の有効性を検証できます。
(2) OCSP モデル
証明書の失効情報を保持したサーバーが、クライアントからの証明書の失効情報の問い合わせに答える方式です。このサーバーを OCSP レスポンダといいます。
次節以降においては、これら 2つの方式について解説します。
前のページ 目次 次のページ Copyright © 2002 Information-technology Promotion Agency, Japan. All rights reserved.