X.509
概要
X.509とは、デジタル証明書(電子証明書)および証明書失効リスト(CRL)のデータ形式を定めた標準規格の一つ。公開鍵の配送に必要な証明書データの記録形式や署名方式、無効な証明書を周知するリストのデータ形式などを定めている。現在広く知られているX.509バージョン3(v3)形式の証明書には、公開鍵自体の他に、証明書の識別番号(シリアル番号)、署名アルゴリズムの種類、証明書の発行者(認証局など)、有効期間(開始日と終了日)、主体者(鍵の所有者)、公開鍵の暗号アルゴリズムの種類、拡張領域などが記載され、末尾に発行者のデジタル署名が記載される。発行者と主体者が同じ場合は末尾の署名も主体者自身のものとなり、そのような証明書を「自己署名証明書」という。
発行者や主体者の名前は識別名(DN:Distinguished Name)と呼ばれる形式で記述され、複数の属性値の集合として定義される。これは「属性名=値」というフレーズをカンマ区切りで列挙した構文で、例えば国・地域は「C」(Country)という属性名で「C=JP」のように記述する。
同様に、組織名は「O」(Organization)、部署名は「OU」(Organizational Unit)、所有者の一般名(個人の氏名や証明書を使用するURL、メールアドレスなど)は「CN」(Common Name)という属性名で記述する。
証明書失効リストの形式
X.509では認証局(CA:Certificate Authority)が発行する証明書失効リスト(CRL:Certificate Revocation List)の形式も定めている。これは何らかの理由により証明書を有効期限前に無効化するために発行されるリストで、CAが定期的に更新・公表する。
CRLには発行者、発行日、次回発行予定日、署名アルゴリズム、リスト本体、拡張領域などが記載され、証明書と同じように末尾に発行者のデジタル署名が添付される。リスト本体には失効した証明書の情報が列挙されるが、一つ一つの失効情報(CRLエントリー)は、失効した証明書のシリアル番号、失効日時、失効理由コード、推定無効日などで構成される。
失効は誤発行などが原因の恒久的な無効化(revoke)と一時的な停止措置(hold)に分かれており、停止された証明書の有効性が確認されればCRLから削除され効力が復活することもある。
歴史
X.509はもともとITU-T(国際電気通信連合・電気通信標準化セクタ)がX.500シリーズ標準の一環として策定したもので、最初の仕様(v1)が1988年に、第2版(v2)が1994年に、第3版(v3)が1997年に発行された。
IETFはオリジナルのX.509v3を元にインターネットにおけるX.509証明書とCRLの標準形式を定めたRFC 2459を1999年に発行し、2008年に最新版のRFC 5280に改訂した。現在単にX.509といった場合は通常このIETFの定めた仕様を指す。
共有ボタンをタップ