証明書の失効

2007年4月16日(月曜日)

証明書の失効

「IE 7の普及でサーバ証明書失効によるトラブルが表面化する (takagi-hiromitsu.jp)」。

サーバ証明書が失効とされるのはどういう場合になのだろうか。また、どのくらい起きているのだろうか。

とりあえず「当該サイト」の CRL配布ポイントは http://crl.verisign.com/RSASecureServer.crl (crl.verisign.com) なので、それを見てみると現時点でその CA が失効させている証明書の数は分かりますね。

……と思ったら、なんか Windows の UI が駄目駄目で数とか数えられる状態じゃないんですけど。リストのスクロールバーの感じからすると、とってもたくさんあるみたいです。

※CRL配布ポイントは証明書に書いてありますので、証明書を表示すればすぐ参照できるのですが、IE7 のインターフェイスだと証明書を表示することもできないのでしんどいですね。

ちなみに、RFC3280 では、どういう場合に CRL にリストされるのかについて一部例示されています。

3.3 Revocation
(～中略～)
Such circumstances include change of name, change of association between subject and CA (e.g., an employee terminates employment with an organization), and compromise or suspected compromise of the corresponding private key. Under such circumstances, the CA needs to revoke the certificate.

以上、RFC3280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile より

「名前が変わった」などは穏健ですが、秘密鍵が怪しくなった場合も失効の対象になるわけです。まあこれは当然というか、秘密鍵が漏れたことが発覚したら速攻で証明書を止めないといけないわけでして、CRL はそのためにあるようなものでしょう。「秘密鍵が詐欺師に渡った」という理由で失効している可能性もあるわけですから、この警告が出たときはかなり危険だと考えた方が良いと思います。

さらにベリサインの規約の記述を発見。

第5条失効
利用者が自己の秘密鍵またはその秘密鍵を保護している起動データの危殆化を発見したか、そう判断する理由がある場合、または証明書に記載された情報に誤りがあるか、変更があった場合、もしくは登録した組織名・ドメイン名を変更した場合、利用者は、その旨を日本ベリサインに直ちに通知し証明書の取消しを要請すると同時に、当該証明書に依拠しているか、または当該証明書を利用してサービスを提供し、もしくは当該証明書を参照し検証可能なデジタル署名に依拠していると合理的に予測しうるすべての者にその旨を通知しなければなりません。日本ベリサインは、日本ベリサインが発行する請求書を利用者が受領後45日以内に所定額の支払いをしない場合、その証明書を取消すことができます。さらに、日本ベリサインは、シールをインストールした利用者がベリサインセキュアドシール・ライセンス契約に定める利用者の義務もしくは本規約に定める重大な義務を履行しない場合、または利用者がVTNのセキュリティもしくは完全性を危険にさらしたか、そのおそれがあると日本ベリサインが判断した場合、利用者の証明書を取消すことができます。

以上、セキュア・サーバID/グローバル・サーバID利用規約より

危殆(きたい)化したら直ちに通知しろということになっているのは良いとして、お金を払わないときやシールを不正利用したときも取り消されてしまうことがあるみたいですね。

※ちなみに「危殆化」は「きたいか」と読みますが、これは compromise の訳語です。暗号方面には疎いもので、最初読めませんでした。orz

「証明書の失効」にコメントを書く

関連する話題: Web / セキュリティ

前(古い): 西武バスの停留所は喫煙可能になったらしい
次(新しい): 私物PCを調査しようとする会社