証明書で発生する問題 - マイクロソフト系技術情報 Wiki

[ トップ ] [ 編集 | 凍結 | 差分 | バックアップ | 添付 | リロード ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

最新の70件

2024-01-24

性能問題のポイント

2023-12-14

ツール類（インデックス）

2023-12-13

2023-11-01

CAL

2023-09-19

2023-08-22

Azure OpenAI Service

2023-07-31

2023-07-27

Docker Desktop for Windows

2023-07-26

Azureの仮想ネットワークピアリング

2023-04-25

メモ

2023-03-27

SAMLの実装を検証する。

2023-03-08

WSL → WSL2

2023-02-16

コンテナのチェーン

2023-02-13

Azure IoT Hub Device Provisioning Service

2023-02-09

Azure Digital Twins

2023-02-08

Azure IoT Hub

2023-02-03

Azure IoT Edge

2023-01-30

2023-01-27

カーネル・ダンプ

2023-01-12

異種環境への移行時のテスト・ポリシー

2022-12-28

2022-12-26

RecentDeleted

2022-12-12

Azure Cloud Shell

2022-12-08

Azure Machine Learningチュートリアル

2022-09-14

2022-09-12

2022-09-05

Azure Machine Learningのアルゴリズム・モデル

2022-08-29

2022-08-25

メモリ・リーク

2022-08-08

2022-08-05

2022-08-04

2022-08-02

インデックスの再構築・デフラグ

2022-06-30

2022-06-29

Azureのデータ・ストア

2022-06-28

2022-06-27

Microsoft Forms

2022-06-24

Azure Machine Learning

2022-06-15

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

概要 †

X.509証明書関係の「あるある」の纏め。

Windowsの証明書ストア（リポジトリ）とAPIが密結合しているため、
予期せぬ問題が起きることがある。ココではそれらをまとめた。

プロダクト固有のストア †

プロダクトによっては、

プロダクト固有の証明書ストア（リポジトリ）を使用しているケース

があるが、その場合、動作が異なることになる。

制御できること †

証明書信頼リスト (CTL) †

Microsoft Updateなどでルート証明書の配信ができる。
Windows7（2008 R2）からは、オンラインでルート証明書の配信ができる。

証明書失効リスト (CRL) †

オンラインで証明書を直ちに失効させることができる。

その他 †

証明書の利用目的 †

利用目的だけをdisable（信頼停止）にできるらしい。

ルート証明書までの証明書チェーンが無い †

CTL、CRLでチェーンが切れる。 †

CTLによるルート証明書の削除
CRLによるルート証明書の失効

によって、証明書チェーンが切れる。

オレオレ証明書関連 †

ルート証明書までの証明書チェーンが無い

自己（署名）証明書（所謂オレオレ証明書）では、証明書を使用できないことがある。
（例えば、X509Certificate2に証明書をロードできないことがある）

ルート証明書を「信頼されたルート証明機関」にインストールするなどして対応可能。

証明書信頼リスト (CTL) 関連 †

ルート証明書情報の更新 †

突然、通信ができなくなるなどの問題発生が発生し得るため、ルート証明書の更新の影響は大きい。

2015/03/16 †

Microsoft、不正な証明書を失効する更新プログラムを公開 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1503/18/news059.html

2015/11/30 †

MSが証明書信頼リストを更新--デルのルート証明書問題に対応 - ZDNet Japan
https://japan.zdnet.com/article/35074332/

2016/04/22 †

【追記有(2016.04.22)】Windowsが遂にSymantecG1ルートを捨てるらしい - 情緒不安定。
http://ls-ltr.hatenablog.com/entry/2016/03/29/012706
2016年4月のマイクロソフト社のルート証明書情報更新の影響と対策に関するご案内（続報） | Symantec
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=ALERT2009

証明書失効リスト (CRL) 関連 †

オンラインで直ちに証明書を失効させられる可能性がある。
CRLへのアクセスによって、処理遅延が発生することがある。

処理遅延 †

クライアント（ブラウザ）によって、サイトの表示に時間がかかることがあります | Symantec
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO22954&actp=LIST&viewlocale=ja_JP

その他 †

特定の証明書の特定の利用を拒否 †

色々調べてみると、これらは、CTL、CRL以外の方式で制御されている模様。

SHA1＋SSLの組み合わせを拒否（2017/01/01） †

Windows は 2017 年 1 月 1 日で SHA-1 で署名した TLS 証明書での SSL 通信を拒否する。

SSLサーバー証明書 : SHA-1 証明書の受付終了と SHA-2 証明書への移行について｜Cybertrust.ne.jp
https://www.cybertrust.ne.jp/sureserver/productinfo/sha1ms.html

SHA-1 ウェブサーバー証明書は 2017 年２月から警告！
ウェブサイト管理者は影響の最終確認を – 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2016/11/25/sha1countdown/

Tags: :セキュリティ, :暗号化, :証明書

Last-modified: 2017-03-27 (月) 15:13:36 (2580d)