Open棟梁Project - マイクロソフト系技術情報 Wiki
X.509証明書関係の「あるある」の纏め。
Windowsの証明書ストア(リポジトリ)とAPIが密結合しているため、
予期せぬ問題が起きることがある。ココではそれらをまとめた。
プロダクトによっては、
があるが、その場合、動作が異なることになる。
オンラインで証明書を直ちに失効させることができる。
利用目的だけをdisable(信頼停止)にできるらしい。
によって、証明書チェーンが切れる。
ルート証明書までの証明書チェーンが無い
自己(署名)証明書(所謂オレオレ証明書)では、証明書を使用できないことがある。
(例えば、X509Certificate2に証明書をロードできないことがある)
ルート証明書を「信頼されたルート証明機関」にインストールするなどして対応可能。
突然、通信ができなくなるなどの問題発生が発生し得るため、ルート証明書の更新の影響は大きい。
色々調べてみると、これらは、CTL、CRL以外の方式で制御されている模様。
Windows は 2017 年 1 月 1 日で SHA-1 で署名した TLS 証明書での SSL 通信を拒否する。