全てのCRLにまつわる問題
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2019/04/10 15:07 UTC 版)
「証明書失効リスト」の記事における「全てのCRLにまつわる問題」の解説
証明書がどこにどのように保管されていても、その証明書を使う際には必ず検証しなければならない。さもないと、失効した証明書を誤って有効とする可能性がある。つまりPKIをうまく使うには、現在のCRLに必ずアクセスしなければならない。このようなオンラインでの検証必要性は、共通鍵暗号プロトコルを使ったPKIの主な利点である証明書の「自己認証性」を無効にする。ケルベロス認証もオンラインサービス(ケルベロスの場合は鍵配布センタ)の存在に依存している。 CRLが必要だということは、何者か(あるいは何らかの組織)が方針を強制する必要があることを意味しており、運用方針に反する証明書を失効させる必要があることを意味している。証明書が間違って撤回されるとしたら、大きな問題が生じる。認証局は証明書発行の運用方針を強制すると同時に、同じ運用方針を解釈して失効の可否や時期を決定する責任も負う。 証明書を受け入れる前にCRL(または他の証明書状態サービス)を使う必要があるということは、PKIに対するDoS攻撃の可能性を生じる。有効なCRLがないために証明書を受け入れられなかった場合、証明書に依存している全てのアクションができなくなる。このような問題はケルベロス認証にもあり、現在の認証トークンの検索に失敗するとシステムにアクセスできなくなる。包括的な解決策はまだ知られていないが、様々な観点でのワークアラウンドが考案されており、その一部は実際に使われている。 CRLの代替手段として、Online Certificate Status Protocol (OCSP) という証明書検証プロトコルがある。OCSPはネットワークの帯域幅を浪費しないという利点があり、多数の状態検証をほぼリアルタイムに実施できる。
※この「全てのCRLにまつわる問題」の解説は、「証明書失効リスト」の解説の一部です。
「全てのCRLにまつわる問題」を含む「証明書失効リスト」の記事については、「証明書失効リスト」の概要を参照ください。
- 全てのCRLにまつわる問題のページへのリンク