IETFやCAB Forumで有効期限の短い証明書(Short-lived Certificate)について議論があるようなので軽く眺めておく
詳しい人は補足いただけると嬉しいです
背景
Googleでは、Webをより安全にするためにWeb PKIのポリシーについて様々な取り組みを行っています。
www.chromium.org
その取り組みのなかにはCAが証明書の発行ポリシーに関するものもあります。
有効期間の短い Short-lived証明書 の利用を促し、より自動化を促進するために、CA/Browser ForumのBaseline Requirementsに対して提案を行っています。
具体的なProposalでは、OCSPをOptinalにすることと、Short-lived Certificateで失効(Revocation)が不要であるとすることを提案しています。
github.com
Short-lived Certificate
Short-lived Certificateの有効期限は次のとおりです
- 2026 年 3月15日より前に発行された証明書の場合、有効期間が 10 日以下
- 2026 年 3月15日以降に発行された証明書の場合、有効期間が 7 日以下
この10日というのは、CRLの"nextUpdate"及びOCSPレスポンスの有効期間の最長と一致しています。
Short-lived Certificateの失効
Short-lived Certificateについては、CAは失効処理が不要なようである。
また、Short-lived Certificate自体にもCRL Distribution Points拡張を含めるべきではない。さらに、このProposalはShort-lived Certificateに限らずOCSPをOptionalにすることを提案している。
noRevAvail
また、IETFには次の提案が提出されています『No Revocation Available for Short-lived X.509 Certificates』。
これは、失効情報が提供されないShort-lived Certificateに対しては明示的に、noRevAvail拡張をつけようという提案です。