X.509
X.509v3 のプロファイル定義?
ISO/IEC 9594-8, ANSI X9.55
ITU-T X.500 シリーズ(LDAP的なもの?)のひとつ
RFC 5280 X.509 公開鍵基盤 PKI証明書と証明書失効リスト (CRL)のプロファイル PKIのルールなどを決めたもの
PKCS #6 の拡張は X.509v3 に取り込まれたとか X.509 全体は RFC より広めか?
認証局(CA)と証明書で公開鍵と身元保証的なものをいろいろする仕組み
CA certification authority 認証局
RA registration authority 登録局 (option)
CRL issuer CRL発行者 CRLを生成、署名するシステム
repository リポジトリ
RFC 2560 Online Certificate Status Protocol (OCSP)
CA証明書
相互証明書
自己発行証明書 ポリシーなどを決める
自己署名証明書 CAを検証できる、認証パスの開始点
エンドエンティティ証明書 (別の証明書が発行できない)
証明書失効リスト(CRL) 有効期限内で無効な証明書の番号一覧 v2
公開鍵と身元確認を認証局で行い、公開鍵と身元を結びつける証明書を発行する。
証明書を(データといっしょに)配ることで身元証明しながら暗号化、署名・検証ができるようになるよ。
身元
メールアドレス、Webサイトのサーバ名のみ確認して発行されるものもある
有償のものは個人、企業の存在証明を含むものもある (公的証明書などを確認して発行する)
"安全"という意味ではなく"存在する"という意味で発行される → 安全でないものは存在証明から法的期間などへ繋げる手段になる
RFC 1422 PEM では X.509v1 でいろいろ (旧) RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
国際化ドメイン名(IDN), IRI
RFC 4491 Using the GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms with the Internet X.509 Public Key Infrastructure Certificate and CRL Profile
RFC 4325
RFC 4210
RFC 4055 Additional Algorithms and Identifiers for RSA Cryptography for use in the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
RFC 3280 (旧) → 5280
RFC 3279 Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
RFC 2459 (旧)
RFC 5912 New ASN.1 Modules for the Public Key Infrastructure Using X.509 (PKIX)