PCで証明書の有効性を検証

アプリケーションは、インターネットからデジタル署名のされた、あるいは保護されたコンテンツ(HTTPSで保護されたWebサイトや署名済みソフトウェアなど)を受け取った時、コンテンツの保護に使用された証明書(SSLやコードサイニング証明書など)が有効であることを検証する必要があります。

Webブラウザやオペレーティングシステムといったアプリケーションは、証明書失効リストやオンライン証明書ステータス確認プロトコルを使用して、証明書を検証します。

検証方法

アプリケーションは2種類の検証方法でデジタル証明書の有効性をチェックします

証明書失効リスト(CRL) ‐ 失効した証明書のリストです。CRLを証明書の検証に利用するアプリケーションは、CRLの全ファイルを自動でダウンロードして、それと照らし合わせて証明書のステータスをチェックします。証明書が失効していてCRLに載っている場合、アプリケーションは信頼しません。

オンライン証明書ステータス確認プロトコル(OCSP) ‐ 質問ベースのサービスです。OCSPを利用するアプリケーションは証明書のステータスをチェックするのにCRLをダウンロードしません。OCSPは「有効」か「失効」の応答を返します。

こちらのチャートは、一般的なアプリケーションとオペレーティングシステムが証明書を検証する方法のガイドラインです。ただし、アプリケーションやオペレーティングシステムによっては、異なる作動をするように設定されたものもあります。

ソフトウェア業者が検証方法を決定します。証明書の検証方法について認証局の支配は及びません。

Windows® 2000 Windows XP / Windows Server 2003 Windows Vista Windows 7 / Windows Server 2008 Mac® OS X
Internet Explorer® CRL CRL OCSP優先。OCSPが使用不可の場合はCRLを使用 OCSP優先。OCSPが使用不可の場合はCRLを使用 該当なし
Firefox® OCSP OCSP OCSP OCSP OCSP
Safari® 該当なし CRL OCSP優先。OCSPが使用不可の場合はCRLを使用 OCSP優先。OCSPが使用不可の場合はCRLを使用 OCSP優先。OCSPが使用不可の場合はCRLを使用
Chrome 該当なし CRL OCSP優先。OCSPが使用不可の場合はCRLを使用 OCSP優先。OCSPが使用不可の場合はCRLを使用 OCSP優先。OCSPが使用不可の場合はCRLを使用
Opera® OCSPとCRL OCSPとCRL OCSPとCRL OCSPとCRL OCSPとCRL
コードサイニング証明書の検証 CRL CRL OCSP優先。OCSPが使用不可の場合はCRLを使用 OCSP優先。OCSPが使用不可の場合はCRLを使用 OCSP優先。OCSPが使用不可の場合はCRLを使用

CRLおよびOCSPサービスへのアクセス

CRLとOCSPはHTTPを使用して以下のサービスから情報を受け取ります。ネットワーク管理者の方は、弊社のデジタル署名付き証明書を受け取る可能性のあるネットワークのPCが、次のCRLとOCSPサービスにアクセスできるようにしておいてください。

サービス DNSホスト名 接続先IP ポート
CRL crl.godaddy.com
certificates.godaddy.com
crl.starfieldtech.com
certificates.starfieldtech.com
72.167.18.237
72.167.18.238
72.167.239.237
72.167.239.238
188.121.36.237
188.121.36.238
182.50.136.237
182.50.136.238
50.63.243.228
50.63.243.229
tcp/80
OCSP ocsp.godaddy.com
ocsp.starfieldtech.com
72.167.18.239
72.167.239.239
188.121.36.239
182.50.136.239
50.63.243.230
tcp/80

この表はサービスの拡大により今後変更されることがあります。


この記事は役に立ちましたか。
フィードバックへのご協力ありがとうございました。 お客様サービススタッフとお話しになりたい場合は、上記のサポート用電話番号またはチャット機能をご利用ください。
お役にたてて光栄です! 何か他にできることはありませんか。
それはすみません。 わかりにくい点や、解決策で問題が解決できなかった理由等を教えてください。