SSL・EV SSL サーバー証明書 サポート

証明書の失効:CRL(Certificate Revocation Lists) とOCSP

CRL(証明書失効リスト)

CRLには失効した証明書のシリアル番号と失効日が記載されています。
認証局(CA)は、失効した証明書のリストCRL(Certificate Revocation Lists)を公開し、このリストのURLを、あらかじめサーバー証明書に記載しておきます。
サーバーが提示した証明書を受け取ったブラウザ等のクライアントは、その証明書がCRLに掲載されていないかを検証します。

サーバーが権威ある認証局によって発行された証明書を提示し、それが有効期限内のものであっても、その証明書だけでは証明書の有効性は確認できません。
証明書の発行後にその証明書が失効している可能性があるためです。
証明書の失効は、秘密鍵が漏洩した場合や、間違った手続きのもとに発行された証明書であることが判明した場合などに行われます。

WildCard Plus/1年あたり162,910円から
複数のサブドメインを1枚の証明書でカバー DigiCert(デジサート)企業認証SSL/TLS リーズナブルな価格でご提供

CRLの入手方法

ブラウザやメールクライアントが自動的に行っているCRLのチェックですが、以下の手順でCRLを入手することができます。

例:Chromeの場合

  1. ブラウザのアドレスバーの鍵マークをクリックし、詳細をクリックします。

    In Chrome, viewing certificate's crl distribution points

  2. 以下の画面が表示されますので、View certificate をクリックします。

    In Chrome, viewing certificate's crl distribution points

  3. 表示プルダウンメニューで拡張機能のみを選択します。

    In Chrome, viewing certificate's crl distribution points

  4. CRL 配布ポイントを選択します。
    「CRL 配布ポイント」のURLが表示されますので、ブラウザでアクセスしCRLを入手してみてください。
    この画面のテキストはファイルにコピーをクリックすればコピーできます。

    In Chrome, viewing certificate's crl distribution points

EV SSL Plus/1年あたり135,630円から
緑のアドレスバーでサイトの信頼性向上 DigiCert(デジサート) EV SSL/TLS リーズナブルな価格でご提供

OCSP(Online Certificate Status Protocol) と失効証明とOCSP Stapling

OCSP(Online Certificate Status Protocol)は、ブラウザなどのクライアントが、認証局が提供するOCSPサーバーに対して証明書のシリアル番号を問合せ、OCSPサーバーが証明書のステイタスを返すという仕組みです。
CRLはある程度大きなサイズのファイルをダウンロードしてチェックするという2段階の手順が必要なため一定程度の時間を要しますが、OCSPでは非常に短時間で結果を入手できます。

SSLサーバ証明書を利用するサーバーが、認証局が提供するOCSPサーバーの情報をキャッシュして、証明書とともにブラウザなどのクライアントに提供する方法をOCSP Staplingと呼びます。
OCSP Staplingの利用方法は、以下のページを参照してください。

認証局が提供するOCSPサーバーのURIと証明書情報は、以下のような手順で確認できます。

例:FireFoxの場合

  1. ブラウザのアドレスバーの鍵マークをクリックし、表示される「>」マークをクリックします。続いて詳細を表示をクリックします。

    In Internet Explorer (IE), viewing certificate's OCSP url

  2. 証明書を表示をクリックします。

    In Internet Explorer (IE), viewing certificate's OCSP url

  3. 詳細タブをクリックします。

    In Internet Explorer (IE), viewing certificate's OCSP url

  4. 証明書のフィールド欄でExtensionsグループ内のAuthority Infomation Accessを選択します。
    フィールドの値欄にOCSP サーバーのURIと証明書情報が表示されます。

    In Internet Explorer (IE), viewing certificate's Authority Information Access

マルチドメイン証明書/1年あたり85,690円から
Windowsサーバーにおすすめ 最大250ホスト名まで対応 DigiCert(デジサート) 企業認証SSL/TLS リーズナブルな価格でご提供

RMS

・SSLサーバー証明書

・コードサイニング
その他証明書

・バウチャ(クーポン)

お見積依頼

Copyright © cybervision Hosting. All rights reserved.