MicrosoftPKIのCDPおよびAIAからのLDAPの削除

CDP/AIA拡張機能にLDAP URLを含めないことをお勧めします。代わりに、内部および外部からアクセス可能で可用性の高いHTTPロケーションを1つ持つことをお勧めします。

2015年10月31日編集：

Microsoftの公式な推奨事項は Windows VistaおよびWindows Server 2008の証明書失効チェック ホワイトペーパー（p.27）に記載されています。

HTTPを使用

AD DSは、フォレスト内のすべてのドメインコントローラーへのCRLの公開を有効にしますが、失効情報の公開にはLDAPではなくHTTPを実装することをお勧めします。HTTPのみがETagおよびCache-Controlの使用を有効にします。最大-ageヘッダーは、プロキシとよりタイムリーな失効情報のサポートを提供し、さらに、HTTPはほとんどのLinux、UNIX、およびネットワークデバイスクライアントでサポートされているため、より良い異種サポートを提供します。

以下：

URLの数を制限する

OCSPおよびCRL取得用にURLの長いリストを作成する代わりに、リストを単一のOCSPおよび単一のCRL URLに制限することを検討してください。複数のサイトを提供する代わりに、URLで参照されるサイトの可用性が高く、予想される帯域幅要件を処理できることを確認してください。

上記のほかに、簡単な説明を追加します。証明書チェーンエンジン（CCE）がCDP/AIA拡張機能を使用して、要求されたオブジェクト（証明書、CRL、またはその他）をダウンロードする場合、CCEは拡張機能に記載されている順序でURLを試行します。最初のURLが失敗した場合、2番目のURL（提示されている場合）が試行され、以下同様に試行されます。 Microsoft CryptoAPIは、最初のURLに15秒のタイムアウトを使用し、後続のURLに以前の2倍短いタイムアウトを使用します（つまり、2番目のURLに7.5秒など）。

Active Directoryドメイン環境で証明書を使用する場合、LDAPリンクに問題はありません。ただし、Active Directoryフォレストのメンバーではないクライアントがそのような証明書を検証しようとすると、ドメインコントローラーに接続する間15秒間待機します。 LDAP URLは（ほとんどの場合）インターネットから解決できません。解決できる場合でも、ファイアウォールまたはDCは接続を拒否します。次に、CCEは2番目のURL（デフォルトのインストールではHTTP）を試行し、成功する可能性があります。ただし、証明書チェーンの長さによっては、検証手順に時間がかかる場合があります。

さらに、証明書検証手順を無期限に続行することはできず、証明書検証手順にはグローバルタイムアウトがあります。つまり、このグローバルタイムアウトが原因で、証明書の検証が失敗する可能性があります。その結果、ネットワークの内部および外部から解決可能な（ロードバランサー上の）高可用性HTTP URLを検討する必要があります。その場合、セカンダリLDAP URLは不要であり、インターネットユーザーには機能しません。