セキュリティの警告について教えてください

証明書の発行者である認証局(CA)によって、証明書取り消し情報が配布されます。この取り消し情報機能についての#2の方の認識は失礼ながら誤りです。 「その証明書の持ち主が発行後に悪いことをしていないかどうかをチェック」などはしてくれません。そんな犯罪者データベースと証明書のリンクをするようなことは不可能です。 “CAが証明書を発行した”ということは、“証明書の申請者が実在する”ということを“そのCAの責任において確認した”という意味に過ぎません。 つまり、証明書というのはその持ち主の善悪を確認する方法ではありません。 証明書の取り消しというのは、秘密鍵の漏洩等によって、もはやその証明書の信用がなくなった時に、それを無効にすべく取られる行為で、“申請者自身の廃棄申請”によって為されます。 その結果、取り消された証明書リストをCAが作成し、公開しています。これが失効証明書リスト、CRLと呼ばれるものです。 そしてCRLが出回ることがほとんど無いというのは全く事実でありません。ビジネスをしているCAはちゃんと1,2週間に1度位の割合でCRLを発行しています。 さて、ご質問の件ですが、以下が発生しています。 １．あなたが使用しているソフトが、証明書を相手から受け取った(SSL等の使用時等) ２．受け取った証明書が無効であるかどうかを確認しようとして証明書に記載されている場所からCRLを取り寄せようとした ３．ところがCRLが何らかの原因で受信できなかった ４．さてどうします？ ということです。 その証明書が失効されたものかどうかを確認できないのです。よって判断を問われています。 もし失効していれば、証明書の主体本人でない者によって、「なりすまし」が可能となるわけですが、「失効」と「なりすましが実現可能かどうか」はまた別の話なので直結はしません。 あなたが今行っている操作に求められるセキュリティレベルに依存するので、どうすればいいか一概に言えませんが、会社レベルで億単位の取引であればやはり信用しない方がいいでしょうし、個人レベルであれば気にしないで「続行」でいいと思います。 ちなみにCRLの発行にはタイムラグがあるので、最新のCRLをチェックしても、さっき失効された証明書は当然それに反映されません。まあその程度の信用度です。 （億単位の話をしましたが、そのレベルであればCRLでの失効チェックではダメですね。リアルタイムな照会が必要でしょう）