Slide 26
Slide 26 text
• 5.10.1 クライアントの対応が不十分
• 各ブラウザがどんなタイミングで失効確認しているか不明
• ドキュメント化されてない。実験してみないと判らない
• 多くのブラウザでCRLが使われて無かった(確認するまで判らなかっ
た)
• ブラウザ以外では、多くのライブラリがデフォルトでは失効確認
しない
• 2011年のCA証明書危殆化の時
• => 失効の唯一の確実な手段=ブラックリストだった
• CRL、OCSPでは確実ではない。
• Chrome, FF, MSもブラックリストの更新で対応した
5.10 証明書の失効 (2)