JPドメイン名のサービス案内、ドメイン名・DNSに関連する情報提供サイト


サーバー証明書発行サービス

失効申請における失効理由コードの指定について

本ページでは、サーバー証明書の失効申請における失効理由コードの指定についてご説明します。本ページをご参照の上、必要に応じ失効理由コードの指定をお願いいたします。

目次

失効理由コードとは

証明書を失効した理由を示すコードで、認証局が公開する証明書の失効リスト(CRL)に掲載されます。証明書の失効申請では、非営利団体Mozillaが作成・公開し、業界全体の運用基準となっている「Mozilla Root Store Policy(MRSP)」に従い、失効理由コードの指定が必要になります。

指定可能な失効理由コードの一覧

JPRSサーバー証明書発行サービスにおいて指定可能な失効理由コードは、以下の5種類となります。「失効理由コードの内容」の説明をご参照の上、該当する失効理由コードを一つ選択してください。

  • 該当なし(unspecified CRLReason #0)
  • 鍵の危殆化(keyCompromise CRLReason #1)
  • 組織情報の変更(affiliationChanged CRLReason #3)
  • 証明書の取替(superseded CRLReason #4)
  • 運用の停止(cessationOfOperation CRLReason #5)

なお、該当する失効理由コードが複数存在する場合は以下の優先順位により、優先度が最も高い失効理由コードのみを選択してください。

  1. 1. 失効する証明書がDV証明書の場合
    • 鍵の危殆化 > 運用の停止 > 証明書の取替
  2. 2. 失効する証明書がOV証明書の場合
    • 鍵の危殆化 > 運用の停止 > 組織情報の変更 > 証明書の取替

失効理由コードの内容

それぞれの失効理由コードの内容は以下の通りです。

  • 該当なし(unspecified CRLReason #0)
    以下の失効理由コードのいずれにも該当しないとき
    失効理由コードの指定は不要です。
    ※失効理由コードの指定がない失効申請はすべて「該当なし」として取り扱います。
  • 鍵の危殆化(keyCompromise CRLReason #1)
    証明書の公開鍵に対応する秘密鍵が危殆化した、もしくはその恐れがあるとき(危殆化とは、情報漏えいなどにより、秘密鍵の安全性が脅かされる状態を示します)
    例:アクセス権限を持たない人物が証明書の秘密鍵にアクセスした。
  • 組織情報の変更(affiliationChanged CRLReason #3)
    証明書記載の組織情報に変更が生じたとき
    例:社名変更や事業所の移転などにより、組織認証型(OV)証明書のO(組織名)、ST(都道府県名)、L(市区町村名)に変更があった。
    ※本項目はOV証明書の失効のみに適用されます。
  • 証明書の取替(superseded CRLReason #4)
    ポリシー違反などを理由に、証明書の取り替えを行ったとき
    例:証明書の記載情報に、CPSおよびCPの規定に適合しないものが含まれていた。
  • 運用の停止(cessationOfOperation CRLReason #5)
    ドメイン名の廃止やWebサイトの閉鎖などにより、証明書を利用しなくなったとき
    例:証明書利用者がCNやSANに記載されたドメイン名を移転・廃止した。

JPRSサーバー証明書発行サービスにおける失効理由コードの指定方法

JPRSサーバー証明書発行サービスにおける、失効理由コードの指定方法は以下の通りです。
従来版とACME対応版では指定方法が異なりますので、ご注意ください。

  • 従来版
    失効対象のサーバー証明書の発行を依頼した指定事業者を経由して申請します。指定事業者への申請の際、該当する失効理由コードをお伝えください。
  • ACME対応版
    ACMEクライアントを用いて、証明書利用者がJPRSに直接申請します。失効申請のパラメーターとして、該当する失効理由コードをご指定ください。なお、ACMEクライアントのご利用手順については、「ACMEクライアントのご利用手順」をご参照ください。

参考情報

Mozillaでは失効理由コードの指定に関する背景・詳細を、解説文書として公開しています。適宜ご参照ください。