Internet X.509 PKI Certificate and Certificate Revocation List (CRL) Profile

1. はじめに English

本仕様は、インターネットのためのX.509 公開鍵基盤（PKI）についての標準ファミリーの一部である。

本仕様は、インターネットPKI のための証明書と証明書失効リスト（CRL）のフォーマットおよびセマンティックスを規定する。インターネット環境において認証パスを処理するための手順が記述されている。最後に、定義されたデータ構造もしくは参照されたデータ構造すべてについて、 ASN.1 モジュールが付録において，提供されている。

2 章は、本書の範囲に影響を与えるインターネット PKI の要件と前定について記述している。 3 章は、アーキテクチャのモデルを提供しており，以前の IETF やISO/IEC/ITU-T の標準との関係を記述している。特に、本書の IETF の PEM 仕様書や ISO/IEC/ITU-T のX.509 文書と本文書との関係が記述されている。

4 章は、X.509 バージョン 3（v3）証明書を規定する。そして、5 章は、X.509 バージョン 2（v2）CRL を規定する。このプロファイルは、インターネット PKI において有用である可能性がある ISO/IEC/ITU-T および ANSI 拡張の識別を含む。このプロファイルは、最新のISO/IEC/ITU-T 標準で使用されている1997 年の ASN.1（Abstract Syntax Notation One）シンタックスではなく、1988 年のASN.1 で表現されている．

6 章は、証明書パス検証手順を含んでいる。これらの手順は、ISO/IEC/ITU-T の規定に基づいている。実装者は、同一の結果を得ることを要する（REQUIRED ）が、規定された手順を使う必要はない。

公開鍵素材とディジタル署名を識別し、符号化するための手順は、[RFC3279]、[RFC4055] および [RFC4491] に規定されている。この仕様の実装者は、いかなる特定の暗号アルゴリズムをも利用することを要求されない。しかし、[RFC3279]、[RFC4055] および [RFC4491] において識別されているアルゴリズムを使う準拠実装は、それらの仕様に記述されているとおりに、公開鍵素材やディジタル署名を識別し、符号化しなければならない（MUST）。

最後に、3 つの付録が、実装者を助けるために提供される。付録 A は、この仕様中で規定されているか、参照されているすべての ASN.1 構造を含む。上記のように、この資料は、1988 ASN.1 で表記される。付録 B は、この仕様で使われる ASN.1 表記法のあまり知られていない機能に関する記述を含む。付録 C は、準拠した証明書と準拠したCRL の例を含む。

この仕様は、[RFC3280] を廃止する。RFC 3280 からの差異は、下記のように要約される。：

国際化 names について拡張されたサポートが、国際化ドメイン名、IRI（Internationalized Resource Identifier）および DN（distinguished name）を符号化し、比較するためのルールと共に、7 章に規定されている。これらのルールは、現行 RFC（[RFC3490]、[RFC3987] および [RFC4518] を含む）において確立された comparison ルールと整合するものである。
　

4.1.2.4 節と 4.1.2.6 節は、[RFC4630] に規定された旧来の（legacy）テキスト符号化スキームの継続的利用についての条件を取り入れた。確立された PKI による利用の場合、UTF8String への切り替えは、名前の chaining 失敗に基づくサービス妨害、もしくは、不正な名前制約の処理をもたらす可能性がある。
　

RFC 3280 中の 4.2.1.4 節（privateKeyUsagePeriod 証明書拡張を規定していたが、その利用に反対していた）は、削除された。この ISO 標準拡張の利用は、インターネット PKI における利用のためには、反対も推奨もしない。
　

4.2.1.5 節は、ポリシーマッピング拡張を critical として印を付けることを推奨する。RFC 3280 は、「ポリシーマッピング拡張は、非-critical として印を付けられること」を要求していた。
　

4.2.1.11 節は、ポリシー制約拡張を critical として印を付けることを要求する。RFC 3280 は、ポリシー制約拡張が critical もしくは非-critical として印を付けられることを認めていた。
　

AIA（Authority Information Access） CRL 拡張 [RFC4325] は、5.2.7 節として追記された。
　

5.2 節と 5.3 節は、順に、解釈されない CRL 拡張と CRL エントリ拡張を扱うためのルールを明確化する。
　

holdInstructionCode CRL エントリ拡張を規定していた RFC 3280 中の 5.3.2 節は、削除された。
　

6 章において規定されるパス検証アルゴリズムは、もはや証明書の連鎖において、証明書ポリシー拡張の重要性（criticality）を追跡しない。RFC 3280 において、この情報は、relying party 宛に返された。
　

「セキュリティに関する考慮事項」の章は、CRL 配布点、AIA（authority information access）もしくはr subject information access 拡張における https もしくは同様のスキームの利用に起因する巡回的な依存性のリスクに対応する。
　

「セキュリティに関する考慮事項」の章は、名前の曖昧さに関するリスクに対応する。
　

「セキュリティに関する考慮事項」の章は、CA の運用における変更を伝える手順について、RFC 4210 を参照する。

付録 A 中の ASN.1 モジュールは、「ub-emailaddress-length は、PKCS #9 [RFC2985] と整合させるため、128 から 255 に変更されたこと」を除いて、RFC 3280 から変更されていない。

本書中のキーワード（"MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY" および "OPTIONAL"）は、[RFC2119] に記述されているように解釈されるべきののである。

index -> 2