①X.509 ②PKCS#7（複数の証明書, 暗号化データ） ③PKCS#12（秘密鍵）

0. シリアル番号 ①発行者（認証局の名称） ②有効期限 ③サブジェクト（自分） ④公開鍵アルゴリズムと公開鍵 ⑤拡張領域 ⑥認証局のデジタル署名

①鍵ペアを作成 ②CSR（証明書署名要求）を作成し、CA（認証局）に申請 ③CAがディジタル証明書を発行

①CAの公開鍵でCAのディジタル署名を検証 ②ディジタル証明書内の、発行元の公開鍵を使って発行元のディジタル署名を検証

①CA（認証局）, RA（登録局）, IA（発行局） ②ディジタル証明書 ③CSR ④CP/CPS

①CA, 発行元のディジタル署名を検証 ②証明書内の有効期限をチェック ③CRL, OCSPで執行情報をチェック ④ルートCA, ルート証明書の検証 ⑤証明書のレベル(DV<OV<EV) ⑥アクセス先のチェック(subjectAltName, CN)

①完全修飾ドメイン（ホスト名＋ドメイン名） ②独自ドメイン, サブドメイン ③URI, URL ④スキーム, ポート, パス, クエリ

①SSLインスペクション機能 ②Client HelloのSNIチェック ③SSL復号, 可視化 ④オレオレ証明書 ⑤UTMの証明書 -> 信頼されたルート証明機関 ⑥SSLアクセラレータ

①SSL3.0（禁止） ②TLS1.0~TLS1.1（例外的に利用可能） ③TLS1.2(ギリOK) ④TLS1.3（大きく改善。現在の一押し）

①ハンドシェイク ②使用可能な暗号化等を決定する ③サーバからディジタル証明書を送信する ④クライアントからディジタル証明書を送信する ⑤暗号化通信の開始 ⑥拡張仕様=Client HelloにSNI=FQDN

①ダウングレード攻撃 ②バージョンロールバック攻撃 ③BEAST攻撃 ④POODLE攻撃

①危殆化した暗号化の削除 ②Server-Hello以降のハンドシェイクパラメータを暗号化 ③1-RTTでハンドシェイクが完了

①HTTPSの使用を強制 ②Strict-Transport-Security(:max-age=expireTime[; includeSubdomains]) ③プリロードHSTS：1回目の通信からHSTSが機能する

①サーバ証明書 ②クライアント証明書 ③S/MIME証明書 ④コードサイニング証明書

①存在性証明：タイムスタンプ時に、確かに、その電子データが存在していたこと ②完全性証明：タイムスタンプ時以降に、その電子データが改ざんされていないこと

①TSA（時刻認証局） ②TAA（時刻配信局）

①ディジタル署名方式 ②アーカイビング方式 ③リンキング（リンクトークン方式）

①送信者が、書類のハッシュ値1をTSAに送信 ②TSAは、①＋時刻でハッシュ値2を作成 ③TSAは、②を秘密鍵で暗号化（TSTの完成） ④TSAは、時刻＋TST ⑤送信者は、書類と④を保管

①書類からハッシュ値1を生成 ②ハッシュ値1+時刻でハッシュ値2を生成 ③TSTを、TSAの公開鍵で復号（ハッシュ値２） ④②と③を比較。同じならOK

①RFC3126（長期署名フォーマット） ②ES, ES-T, ES-A ③全証明書＋失効情報 ④アーカイブタイムスタンプ