「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。 目次 †概要 †X.509証明書関係の「あるある」の纏め。 Windowsの証明書ストア(リポジトリ)とAPIが密結合しているため、 プロダクト固有のストア †プロダクトによっては、 があるが、その場合、動作が異なることになる。 制御できること †証明書信頼リスト (CTL) †
証明書失効リスト (CRL) †オンラインで証明書を直ちに失効させることができる。 その他 †証明書の利用目的 †利用目的だけをdisable(信頼停止)にできるらしい。 ルート証明書までの証明書チェーンが無い †CTL、CRLでチェーンが切れる。 †
によって、証明書チェーンが切れる。 オレオレ証明書関連 †ルート証明書までの証明書チェーンが無い
ルート証明書を「信頼されたルート証明機関」にインストールするなどして対応可能。 証明書信頼リスト (CTL) 関連 †ルート証明書情報の更新 †突然、通信ができなくなるなどの問題発生が発生し得るため、ルート証明書の更新の影響は大きい。 2015/03/16 †
2015/11/30 †
2016/04/22 †
証明書失効リスト (CRL) 関連 †
処理遅延 †
その他 †特定の証明書の特定の利用を拒否 †色々調べてみると、これらは、CTL、CRL以外の方式で制御されている模様。 SHA1+SSLの組み合わせを拒否(2017/01/01) †Windows は 2017 年 1 月 1 日で SHA-1 で署名した TLS 証明書での SSL 通信を拒否する。
|