セキュリティ・プロパティjdk.certpath.disabledAlgorithmsを更新して、次の制限を追加します:

• RSA keySize < 2048
• EC keySize < 256

「Java Platform, Standard Editionセキュリティ開発者ガイド」の「無効および制限された暗号化アルゴリズム」を参照してください。

証明書はデジタル署名された文で、通常は認証局(CA)によって発行され、エンティティのアイデンティティと公開キーを保証します。 TLSで使用される証明書は、証明書が侵害されたと思われる理由がある場合、発行元CAによって取り消すことができます。 NISTガイドラインでは、クライアント認証が使用されるときに、サーバーがクライアント証明書の失効チェックを実行する必要があることを指定します。 また、サーバーは、オンライン証明書ステータス・プロトコル(OCSP)または証明書失効リスト(CRL)を使用して、失効情報を取得する必要があります。

詳細は、「Java Platform, Standard Editionセキュリティ開発者ガイド」の「PKIX TrustManagerのサポート」および「クライアント駆動型OCSPおよびOCSPステープリング」を参照してください。

次のステップに従って、失効チェックおよびクライアント駆動OCSPを有効にします。

1. システム・プロパティcom.sun.net.ssl.checkRevocationをtrueに設定します。
2. システム・プロパティocsp.enableをtrueに設定します。
3. システム・プロパティcom.sun.security.enableCRLDPをtrueに設定します。