採用情報

お問い合わせ

BLOG

SSL/TLS サーバー証明書 BLOG

サーバー証明書の失効理由について ~ Revocation Reason Codes ~

SSL/TLS サーバー証明書、SureServer シリーズを申請・管理するためにご利用いただいている、SureBoard と SureHandsOn が、2022 年 6 月 23 日にバージョンアップされました。
バージョンアップ内容の一つとして、失効時における失効理由の適正化が含まれています。この失効理由について、詳しく解説していきます。

失効理由の適正化とは

サーバー証明書の失効理由の適正化の背景には、Mozilla Root Store Policy ※1 の改正があります。SSL/TLS サーバー証明書を発行するサイバートラストのような認証事業者は、業界規制に加え、ブラウザベンダーが独自に認証事業者へ課す要件を満たす必要があります。
今回は、その中の一つである Mozilla Root Store Policy 改正により、加入者(サーバー証明書を申請および利用する組織や人)が、証明書の失効を要求する際に、適正な失効理由を選択し、その失効理由にて失効を行うよう言及されています。また、失効理由の詳細を加入契約書などに記載し、加入者が選択しやすくするように求められています。

※1
Firefox、Thunderbird などを提供する Mozilla が独自に定めている要件で、この要件を満たすことにより信頼された認証局と認められます。

失効理由とは

では、実際にはどのような失効理由が用意されているのでしょうか。失効理由は RFC5280 に定義されており、Mozilla はその中からいくつかを厳選し、失効理由としての使用を認めています。以下がその失効理由です。

  1. unspecified (RFC 5280 CRLReason #0)
  2. keyCompromise (RFC 5280 CRLReason #1)
  3. affiliationChanged (RFC 5280 CRLReason #3)
  4. superseded (RFC 5280 CRLReason #4)
  5. cessationOfOperation (RFC 5280 CRLReason #5)
  6. privilegeWithdrawn (RFC 5280 CRLReason #9)

これらの失効理由について Mozilla(https://wiki.mozilla.org/CA/Revocation_Reasons)では、どのような場面で使用するのか説明をしており、SureServer 証明書加入契約書にも記載をしております。さらに、 SureBoard と SureHandsOn では、以下のように記載されています。

1 その他 unspecified

Mozilla では、以下の 2~6 のいずれの失効理由にも該当しない場合、加入者は「unspecified」を選択するよう説明しています。

SureBoard と SureHandsOn では、「上記以外の理由(その他)」を選択してください。

2 秘密鍵の危殆化 keyCompromise

Mozilla では、秘密鍵が漏洩され危殆化が発生した場合などは「keyCompromise」を失効理由に選択しなければならないと説明しています。

SureBoard と SureHandsOn では、「証明書の秘密鍵が漏洩した ( 秘密鍵の危殆化 )」を選択してください。

3 証明書情報の変更 affiliationChanged

Mozilla では、サーバー証明書に記載される組織名などの組織情報が変更された場合、「affiliationChanged」を失効理由に選択しなければならないと説明しています。

SureBoard と SureHandsOn では、「証明書の組織名や住所等の変更 ( 証明書情報の変更 )」を選択してください。

4 証明書の破棄 superseded

Mozilla では、既存のサーバー証明書を置き換えるために新しいサーバー証明書を要求する場合などは、「superseded」を失効理由に選択しなければならないと説明しており、サーバー証明書の置き換えのため再発行をする場合などに該当します。

SureBoard と SureHandsOn では、「証明書の入れ替え ( 証明書の破棄 )」を選択してください。

5 証明書の運用停止 cessationOfOperation

Mozilla では、サーバー証明書に含まれるドメイン名を所有しなくなった場合や、Web サイトを閉鎖するためにサーバー証明書を使用しなくなる場合などは、「cessationOfOperation」を失効理由に選択しなければならないと説明しています。

SureBoard と SureHandsOn では、「サイト閉鎖により証明書を利用しない(証明書の運用停止)」または「ドメイン名を所有・管理しなくなった ( 証明書の運用停止 )」を 選択してください。

6 誤用、不正利用、証明書情報が 不正確 privilegeWithdrawn

Mozilla では、本失効理由の使用は、加入者の選択ではなく、 認証局の決定により使用すると説明されており、SureBoard と SureHandsOn では、選択することができません。

このブログで紹介させていただきました失効理由につきましては、SureServer 証明書加入契約書で詳しく説明しています。

サーバー証明書の失効申請をされる際は、適切な失効理由の申請をお願いいたします。

SureBoard/SureHandsOn 失効理由選択表示

SureBoard/SureHandsOn 失効理由選択表示

本記事に関連するリンク
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime