公開鍵証明書の有効性

デジタル署名や暗号化に使われる公開鍵は、『持ち主』つまり対応するプライベート鍵を 持っていて暗号データの復号ができる人間が『誰であるか』が保証されなければなりませ ん。この保証は、PKIという枠組みを使い認証局が本人確認をしたのち公開鍵証明書を発 行するという手順により実現されています。

本人確認¹⁰は認証局の役割ですが、証明書のデジタル署名に問題がないか確認するのは利 用者側のアプリケーションの役割です。また、認証局は公開鍵証明書を発行するにあたり いくつかの制約をつけることがあります。その制約に則ったものが有効な公開鍵証明書で あり、その制約に従って使われなければなりません。

ここでは、有効性を確認するポイントと利用者側のアプリケーションが無効な証明書をど のように表すかを示します。利用者側のアプリケーションとして、Windows 標準の証明 書管理機能¹¹を使って説明します。

10証明書発行のサービスを運営する場合、本人確認の確実性の度合いに応じてサービスを分けて運営するこ とがあります。ベリサイン社では、本人確認の確実性の度合いを4つに分類し、簡単なレベルから順にク ラス1からクラス4に分けています。

11 Windowsでの証明書管理機能の詳細は 「4.3.1. マイクロソフトWindowsでの証明書の管理」を参照 してください。

44 (1) 認証局のデジタル署名が正しいか

証明書には、認証局のデジタル署名がついています。証明書の所有者名などの記載内容が 改ざんされているような場合、このデジタル署名は不正となります。そのような場合、図 のように証明書に不整合があることが通知されます。

図 2-1 証明書にある認証局のデジタル署名が正しくなかった場合

45

(2) 信頼しているルート認証局まで、証明書チェーンができているか

Windows 標準の証明書管理機能には、証明書のデータベースがあります。対象とする証

明書から、ルート認証局までの階層上のすべての証明書が証明書データベースに存在しな い場合、証明書の署名が検証できないので、証明書の正しさが確認できません。その場合、

その証明書は信頼することはできません。図では、対象とする証明書の発行元の認証局の 証明書がデータベースに存在しないため、情報不足として警告を表示しています。

図 2-2 信頼しているルート認証局まで、証明書チェーンができない場合

証明書チェーンが確認できないので、「証明書のパス」タブのページで図のように表示さ れます。

46

図 2-3 証明書チェーンができない場合の表示

証明書チェーンができていると、「証明書のパス」タブのページで図の用に証明書チェー ン上の認証局名がツリー状に表示されます。

図 2-4 証明書チェーンができた場合の表示

47 (3) 証明書が有効期間内であるか

証明書には、発行元の認証局の認めた有効期間の開始日時と終了日時が示されています。

システムの時刻がその範囲にない場合、無効な証明書として判断します。

図 2-5 有効期限内にない証明書

48

(4) 証明書ポリシー（CP）と認証実施規定（CPS）が適切であるか

認証局では証明書を発行する業務にあたり、所有者確認の程度など信頼性の保証の度合い を決め、証明書発行のポリシーとして策定します。このポリシーを識別するために、ユニ ークなオブジェクトIDを決めます。また、そのポリシーを成立させるための運用規定を 定めます。これをCPS（Certification Practice Statement）と呼び、Webで公開するな どオープンにする必要があります。当該のポリシーに基づき発行された証明書には、証明 書ポリシーがオブジャクトIDとして記載され、CPSへのアクセスがURIとして示されま す。証明書ポリシーがある証明書では、「全般」タブのページの「発行者のステートメン ト」ボタンが有効となります。このボタンをクリックすると、Webブラウザが起動し当該 のURIが表示されます。

図 2-6 証明書ポリシー

49 (5) 認証局が制約した鍵の使用法に則っているか

鍵使用法（キー使用法）には、Digital Signature, Key Enciphermentなどのように記載 されています。Digital Signatureはデジタル署名の作成とデジタル署名の検証に使えると いうことであり、Key Enciphermentはメッセージの暗号化に使った暗号化されている秘 密鍵を復号するために使うことができるよいうことを示しています。

図 2-7 証明書の鍵使用法

50 (6) 証明書が失効していないか

対象となる証明書発行元（認証局）が発行した失効リスト（CRL）を確認し、失効されて いないことを確認します。アプリケーションは、証明書のCRL配布点を参照して最新の CRLを取得します。CRLを所得する手順については、「1.2.4.1 PKI（公開鍵基盤）」の

「(9)CRL配布点」を参照してください。

図 2-8 失効している証明書

51