X.509
ISO/IEC 9594-8, ANSI X9.55
RFC 5280 X.509 公開鍵基盤 PKI証明書と証明書失効リスト (CRL)のプロファイル X.509v3 の内、インターネット用Profile としてまとめたもの
X.509v3 Certificate のプロファイル定義?
ITU-T X.500 シリーズ(LDAP的なもの?)のひとつ
PKIのルールなどを決めたもの
PKCS #6 の拡張は X.509v3 に取り込まれたとか X.509 全体は RFC より広めか?
認証局(CA)と証明書で公開鍵と身元保証的なものをいろいろする仕組み
標準的なデータ構造にASN.1 (最近はDER)を利用する。 CA certification authority 認証局
RA registration authority 登録局 (option)
CRL issuer CRL発行者 CRLを生成、署名するシステム
repository リポジトリ
RFC 2560 Online Certificate Status Protocol (OCSP)
RFC 1422 PEM証明書階層 (古い例)
インターネットポリシー登録機関 Internet Policy Registration Authority (IPRA): レベル1
ポリシー認証局 Policy Certification Authorities (PCA): レベル2
認証局 Certification Authorities (CAs): レベル3
という制限があった
CA証明書
相互証明書
自己発行証明書 ポリシーなどを決める (CA証明書)
自己署名証明書 CAを検証できる、認証パスの開始点
エンドエンティティ証明書 (別の証明書が発行できない)
証明書失効リスト(CRL) 有効期限内で無効な証明書の番号一覧 v2
RFC 3279, 4055, 4491, 5280 アルゴリズムとID for インターネット X.509 公開鍵基盤証明書と無効化リスト(CRL) Profile
公開鍵と身元確認を認証局で行い、公開鍵と身元を結びつける証明書を発行する。
証明書を(データといっしょに)配ることで身元証明しながら暗号化、署名・検証ができるようになるよ。
身元
メールアドレス、Webサイトのサーバ名のみ確認して発行されるものもある
有償のものは個人、企業の存在証明を含むものもある (公的証明書などを確認して発行する)
"安全"という意味ではなく"存在する"という意味で発行される → 安全でないものは存在証明から法的期間などへ繋げる手段になる
無効化
証明書が期限切れ以外の理由で無効化されたという情報を共有する仕組みがいくつかある
自動更新
RFC 1422 PEM では X.509v1 でいろいろ (旧) RFC 5912 X.509を利用した公開鍵暗号基盤の新しいASN.1モジュール RFC 5756 Updates for RSAES-OAEP and RSASSA-PSS Algorithm Parameters RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
国際化ドメイン名(IDN), IRI
RFC 4491 Using the GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms with the Internet X.509 Public Key Infrastructure Certificate and CRL Profile
RFC 4325 → 5280
RFC 4211 Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF) RFC 4210 Internet X.509 Public Key Infrastructure Certificate Management Protocol (CMP)
RFC 4055 RSA暗号の追加アルゴリズムとID for use in the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
RFC 3280 (旧) → 5280
RFC 3279 アルゴリズムとID for the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
RFC 2459 (旧)
RFC 5912 New ASN.1 Modules for the Public Key Infrastructure Using X.509 (PKIX)