メインコンテンツまでスキップ

1. Introduction (はじめに)

1. Introduction (はじめに)

本書は、CRLs を必要とせずにデジタル証明書の現在の状態を判断するのに役立つプロトコルを指定する。PKIX の運用要件に対処する追加のメカニズムは、別のドキュメントで指定されている。

本仕様は [RFC2560] および [RFC6277] を廃止する。本書の発行の主な理由は、RFC 2560 の発行以降に見つかった曖昧さに対処することである。本書は、以下の数点においてのみ RFC 2560 と異なる:

  • セクション 2.2 は、"revoked (失効)" 応答の使用を拡張し、発行されたことのない証明書に対してこの応答ステータスを許可する。

  • セクション 2.3 は、[RFC5019] で指定されているように、"unauthorized (未承認)" エラー応答の使用を拡張する。

  • セクション 4.2.1 および 4.2.2.3 は、[RFC5019] で許可されているように、応答にはリクエストに含まれていなかった証明書の失効ステータス情報が含まれていてもよい (MAY) と述べている。

  • セクション 4.2.2.2 は、レスポンダが Authorized Responder (認可されたレスポンダ) と見なされる場合を明確にする。

  • セクション 4.2.2.3 は、ResponderID フィールドが OCSP レスポンダ署名者証明書に対応することを明確にする。

  • セクション 4.3 は、[RFC6277] で指定されているように、クライアントがサポートしなければならない (MUST) 暗号化アルゴリズムのセットと、クライアントがサポートすべき (SHOULD) 暗号化アルゴリズムのセットを変更する。

  • セクション 4.4.1 は、nonce 拡張について、RFC 2560 で欠落していた ASN.1 構文を指定する。

  • セクション 4.4.7 は、[RFC6277] で指定されているように、サーバーが応答に署名するために使用することをクライアントが希望する署名アルゴリズムを指定するためにリクエストメッセージに含めることができる新しい拡張を指定する。

  • セクション 4.4.8 は、セクション 2.2 で定義されている非発行証明書に対する "revoked" 応答の拡張使用をレスポンダがサポートしていることを示す新しい拡張を指定する。

  • 付録 B.2 は、ASN.1 の 2008 構文を使用した ASN.1 モジュールを提供し、[RFC5912] を更新する。

プロトコルの概要はセクション 2 で提供される。機能要件はセクション 3 で指定される。プロトコルの詳細はセクション 4 で議論される。プロトコルのセキュリティ問題についてはセクション 5 で扱う。付録 A は HTTP 上の OCSP を定義し、付録 B は ASN.1 構文要素を提供し、付録 C はメッセージの MIME タイプを指定する。

1.1. Requirements Language (要件言語)

本書におけるキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" は、RFC 2119 [RFC2119] で説明されているように解釈されるものである。

最終更新