Open棟梁Project - マイクロソフト系技術情報 Wiki

目次

概要

X.509証明書関係の「あるある」の纏め。

Windowsの証明書ストア(リポジトリ)とAPIが密結合しているため、
予期せぬ問題が起きることがある。ココではそれらをまとめた。

プロダクト固有のストア

プロダクトによっては、

プロダクト固有の証明書ストア(リポジトリ)を使用しているケース

があるが、その場合、動作が異なることになる。

制御できること

証明書信頼リスト (CTL)

証明書失効リスト (CRL)

オンラインで証明書を直ちに失効させることができる。

その他

証明書の利用目的

利用目的だけをdisable(信頼停止)にできるらしい。

ルート証明書までの証明書チェーンが無い

CTL、CRLでチェーンが切れる。

によって、証明書チェーンが切れる。

オレオレ証明書関連

ルート証明書までの証明書チェーンが無い

自己(署名)証明書(所謂オレオレ証明書)では、証明書を使用できないことがある。
(例えば、X509Certificate2に証明書をロードできないことがある)

ルート証明書を「信頼されたルート証明機関」にインストールするなどして対応可能。

証明書信頼リスト (CTL) 関連

ルート証明書情報の更新

突然、通信ができなくなるなどの問題発生が発生し得るため、ルート証明書の更新の影響は大きい。

2015/03/16

2015/11/30

2016/04/22

証明書失効リスト (CRL) 関連

処理遅延

その他

特定の証明書の特定の利用を拒否

色々調べてみると、これらは、CTL、CRL以外の方式で制御されている模様。

SHA1+SSLの組み合わせを拒否(2017/01/01)

Windows は 2017 年 1 月 1 日で SHA-1 で署名した TLS 証明書での SSL 通信を拒否する。

Tags: :セキュリティ, :暗号化, :証明書

トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS