SCVP

証明書利用者がデジタル証明書を受け取り、その証明書を信頼するかどうかを決定する必要がある場合、まず、その証明書が信頼できる証明書にリンクできるかどうかを判断する必要があります。このプロセスでは、次のような複数の発行者を経由して証明書を連鎖させる必要がある場合があります。

 Equifax セキュア eBusiness CA-1 ACME Co 認証局 ジョーユーザー 

現在、この証明書チェーンの作成は、署名されたメッセージを受信するアプリケーションによって実行されます。このプロセスは「パス検出」と呼ばれ、結果として得られるチェーンは「証明パス」と呼ばれます。Outlookなどの多くのWindowsアプリケーションは、パス検出に暗号化アプリケーションプログラミングインターフェイス（CAPI）を使用しています。

CAPIは、Windows証明書ストアにインストールされている証明書、または証明書利用者アプリケーションによって提供される証明書を使用して、証明パスを構築できます。例えば、Equifax CA証明書は、信頼された証明書としてWindowsにインストールされています。CAPIがACME Co CA証明書を認識している場合、または署名付きメールに含まれていてOutlookによってCAPIが利用できるようになっている場合、CAPIは上記の証明パスを作成できます。しかし、CAPIはACME Co CA証明書を見つけられない場合、Joe Userが信頼されているかどうかを検証できません。

SCVPは、委任パス検出（DPD）を用いてこの問題を解決するための標準ベースのクライアントサーバープロトコルを提供します。DPDを使用する場合、証明書利用者はサーバーに対し、自身のニーズを満たす証明書パスを要求します。SCVPクライアントの要求には、信頼しようとしている証明書と、信頼されている証明書のセットが含まれます。SCVPサーバーの応答には、対象の証明書と信頼されている証明書の1つとの間の有効なパスを構成する証明書のセットが含まれます。応答には、パス内の証明書の失効状態を示す 証明書（OCSP応答など）も含まれる場合があります。

認証パスを構築したら、検証する必要があります。認証パスを検証するためのアルゴリズムは、RFC 5280 セクション6（署名、有効期限、名前制約、ポリシー制約、基本制約など）で定義されています。これも、クライアント側でローカルに行うことも、委任パス検証（Delegated Path Validation ）を使用してSCVPサーバー側で行うことも可能です。

SCVP は、ブリッジ証明機関を備えたものなどのフェデレーション PKI を容易にします。

• RFC 5055 - サーバーベースの証明書検証プロトコル (SCVP) (2007 年 12 月提案標準)