証明書の失効と一時停止

4.9.1 証明書失効事由

本CAは次の事由が発生した場合、登録担当者からの申請に基づき証明書の失効を行う。

・ 証明書記載情報に変更があった場合

・ 秘密鍵の盗難、紛失、漏洩、不正利用等により秘密鍵が危殆化した又は危殆化の おそれがある場合

・ 証明書の内容、利用目的が正しくない場合

・ 証明書の利用を中止する場合

また、本CAは、次の事由が発生した場合に、本CAの判断により証明書を失効する。

・ 利用管理者、利用者及び登録担当者が本 CP、CPS、関連する規程又は法律に基 づく義務を履行していない場合

・ 本CAを終了する場合

・ 本CAの秘密鍵が危殆化した又は危殆化のおそれがあると判断した場合

・ 本CAが失効を必要とすると判断するその他の状況が認められた場合

4.9.2 失効申請者

証明書の失効の申請を行うことができる者は、登録担当者とする。なお、本CP「4.9.1 証明書失効事由」に該当すると本CAが判断した場合、本CAが失効申請者となり得る。

4.9.3 失効申請の手続き

本CP「4.1.2申請手続及び責任」、「4.2証明書申請手続き」及び「4.3.1証明書発行時

の本CAの機能」と同様とする。

なお、申請を行う者の本人性確認及び資格確認については、本CAが、本CP「3.4失 効申請時の本人性確認及び認証」に記載の情報をもって、申請を行う者の審査を行う。

4.9.4 失効における猶予期間

失効の申請は、失効すべき事象が発生してから速やかに行わなければならない。

4.9.5 本CAによる失効申請の処理期間

本CAは、有効な失効の申請を受け付けてから速やかに証明書の失効処理を行い、CRL へ当該証明書情報を反映する。

4.9.6 検証者の失効情報確認の要件

本CA が発行する証明書には、CRLの格納先であるURLを記載する。また、サーバ 証明書及びコード署名用証明書についてはCRLの他にOCSPサーバのURLを記載す る。なお、その他の証明書にはOCSPサーバのURLは記載しない。

CRL及びOCSPサーバは、一般的なWebインターフェースを用いてアクセスするこ とができる。なお、CRLには、有効期限の切れた証明書情報は含まれない。

検証者は、利用管理者及び利用者の証明書について、有効性を確認しなければならな い。証明書の有効性は、リポジトリに掲載しているCRL又はOCSPサーバにより確認 する。

4.9.7 CRLの発行周期

CRLは、失効処理の有無にかかわらず、24時間ごとに更新を行う。証明書の失効処理 が行われた場合は、その時点でCRLの更新を行う。

CRLの有効期間は96時間とする。

4.9.8 CRLがリポジトリに格納されるまでの最大遅延時間

本CAが発行したCRLは、即時にリポジトリに反映させる。

4.9.9 OCSPの提供

NII Open Domain CA - G4、NII Open Domain CA- G5、NII Open Domain CA- G6 では、OCSPサーバを通じてサーバ証明書ステータス情報の提供を行う。

NII Open Domain Code Signing CA - G2では、OCSPサーバを通じてコード署名用

証明書ステータス情報の提供を行う。

その他CAについてはOCSPサーバを提供しない。

4.9.10 OCSP確認要件

本CAより発行される証明書について、検証者は有効性の確認を行わなければならない。

リポジトリに掲載しているCRLにより、サーバ証明書及びコード署名用証明書の失効 登録の有無を確認しない場合には、OCSP サーバにより提供されるサーバ証明書及び コード署名用証明書ステータス情報の確認を行わなければならない。

4.9.11 その他の利用可能な失効情報検査手段 規定しない。

4.9.12 鍵の危殆化の特別な要件 規定しない。

4.9.13 証明書の一時停止

本CAは、証明書の一時停止は行わない。

4.9.14 証明書の一時停止の申請者 規定しない。

4.9.15 一時停止申請の手続き 規定しない。

4.9.16 証明書の一時停止の限度 規定しない。