X.509とは

[セキュリティ・キャンプ実施協議会，＠IT]

　X.509（エックス ポイント ゴーマルキュー）とは、もともとITU（International Telecommunications Union：国際電気通信連合電気通信標準化部門）が定めたデジタル証明書の標準仕様だが、今日ではIETF PKIX Working Groupが定めたPKIに関する規格（RFC 5280）を指す。

　PKIにおいて利用される「X.509 v3証明書」「X.509 v2証明書失効リスト（CRL）」のフォーマットは以下の通りである。なお、フィールドの和名および説明はRFC 5280や下記2つを参考にした。

1. PKI 関連技術情報：IPA 独立行政法人 情報処理推進機構
2. Internet X.509 PKI Certificate and Certificate Revocation List (CRL) Profile

X.509 v3証明書

　X.509証明書（X.509 Certificate）は公開鍵証明書の標準フォーマットだ。現在ではバージョン3が使用されている。この証明書フォーマットは、PKIが公開鍵とその公開鍵の持ち主の対応関係を保証するための電子署名として機能する。

図1　X.509 v3証明書

　図1はX.509 v3証明書のフォーマットを示したものである。各フィールドの役割は次の通りだ。

• tbsCertificate
  • バージョン
    X.509証明書のバージョン
  • シリアル番号
    CAによって割り当てられた正の整数
  • 署名アルゴリズム
    発行者が証明書に署名する際に用いるアルゴリズム（ハッシュ関数：MD5、SHA-1、SHA-2など。署名アルゴリズム：RSA、DSA、ECDSAなど）
  • 証明書発行者
    証明書に署名して発行した機関の名前
  • 証明書の有効期間
    「有効期間が始まる日付」および「有効期間が終わる日付」を記した、その証明書の有効期間
  • 主体者
    証明書の所有者の名前
  • 主体者の公開鍵情報
    証明書所有者（主体者）の公開鍵に関する情報
  • 拡張
    証明書の拡張領域
• signatureAlgorithm
  発行者が証明書に署名する際のアルゴリズム
• signatureValue
  tbsCertificateについて計算されるCAの署名

X.509 v2証明書失効リスト（CRL）

　証明書失効リスト（CRL：Certificate Revocation List）は、証明書の内容の変更や秘密鍵の漏えい、証明書の誤発行などの理由により、公開鍵証明書を通常の有効期限内で無効にするために使われる。また、後で有効な状態に戻すことができるように「停止」とすることもできる。

　証明書発行リストは、PKIが公開鍵証明書のライフサイクルを管理するために用いられている。

　図2はX.509 v2証明書失効リスト（CRL）のフォーマットを示したものである。幾つかのフィールドは省略した。

図2　X.509 v2証明書失効リスト（CRL）

　各フィールドの役割は次の通りである。

• tbsCertList
  • バージョン
    CRLのバージョン
  • 署名アルゴリズム
    CRL発行者の署名アルゴリズム
  • CRL発行者
    CRLに署名して発行した主体
  • This Update
    CRLの発行日
  • Next Update
    次のCRLが発行される日付。示された日付以前に発行される可能性はあるが、それより後には発行されない
  • 失効証明書リスト（CRLエントリー）
    • シリアル番号
      失効された証明書のシリアル番号
    • 失効日時
      証明書が失効された日時
    • CRLエントリー拡張
      • 理由コード
        証明書の失効理由
      • 推定無効日
        証明書が無効になったと推定される日時
  • CRL拡張
    CRLの拡張領域
• signatureAlgorithm
  CRL発行者によって使われるアルゴリズム
• signatureValue
  tbsCertListに基づくデジタル署名

関連用語

■RSA
■MD5

■更新履歴

【2004/1/1】初版公開。

【2018/4/9】最新情報に合わせて内容を書き直しました（セキュリティ・キャンプ実施協議会 著）。