[[Open棟梁Project>http://opentouryo.osscons.jp/]] - [[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>証明書]]

* 目次 [#z7e6f5ba]
#contents

*概要 [#mbf609f4]
[[X.509証明書>証明書]]関係の「あるある」の纏め。

Windowsの証明書ストア(リポジトリ)とAPIが密結合しているため、~
予期せぬ問題が起きることがある。ココではそれらをまとめた。

*プロダクト固有のストア [#z85522c8]
プロダクトによっては、

>[[プロダクト固有の証明書ストア(リポジトリ)を使用しているケース>証明書#dccdb7e5]]

があるが、その場合、動作が異なることになる。

*制御できること [#l2ef348e]
**[[証明書信頼リスト (CTL)]] [#m441d413]
-Microsoft Updateなどでルート証明書の配信ができる。
-Windows7(2008 R2)からは、オンラインでルート証明書の配信ができる。

**[[証明書失効リスト (CRL)]] [#n00a296c]
オンラインで証明書を直ちに失効させることができる。

**その他 [#a5a198d4]
***証明書の利用目的 [#y38609be]
利用目的だけをdisable(信頼停止)にできるらしい。

*ルート証明書までの証明書チェーンが無い [#d1d084c1]

**CTL、CRLでチェーンが切れる。 [#o46a78d3]
-CTLによるルート証明書の削除
-CRLによるルート証明書の失効

によって、証明書チェーンが切れる。

**オレオレ証明書関連 [#y1b496e9]
ルート証明書までの証明書チェーンが無い~

>[[自己(署名)証明書(所謂オレオレ証明書)では、証明書を使用できないことがある。>証明書#c43fe324]]~
(例えば、X509Certificate2に証明書をロードできないことがある)

ルート証明書を「信頼されたルート証明機関」にインストールするなどして対応可能。

*[[証明書信頼リスト (CTL)]] 関連 [#a9e0fa66]

**ルート証明書情報の更新 [#q1bbd3d9]
突然、通信ができなくなるなどの問題発生が発生し得るため、ルート証明書の更新の影響は大きい。

***2015/03/16 [#ha8945e7]
-Microsoft、不正な証明書を失効する更新プログラムを公開 - ITmedia エンタープライズ~
http://www.itmedia.co.jp/enterprise/articles/1503/18/news059.html

***2015/11/30 [#ke584cf0]
-MSが証明書信頼リストを更新--デルのルート証明書問題に対応 - ZDNet Japan~
https://japan.zdnet.com/article/35074332/

***2016/04/22 [#d261258e]
-【追記有(2016.04.22)】Windowsが遂にSymantecG1ルートを捨てるらしい - 情緒不安定。~
http://ls-ltr.hatenablog.com/entry/2016/03/29/012706
-2016年4月のマイクロソフト社のルート証明書情報更新の影響と対策に関するご案内(続報) | Symantec~
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=ALERT2009

*[[証明書失効リスト (CRL)]] 関連 [#f0103e69]
-オンラインで直ちに証明書を失効させられる可能性がある。
-CRLへのアクセスによって、処理遅延が発生することがある。

**処理遅延 [#aaa2674c]
-クライアント(ブラウザ)によって、サイトの表示に時間がかかることがあります | Symantec~
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO22954&actp=LIST&viewlocale=ja_JP

*その他 [#g8b1f6ab]
**特定の証明書の特定の利用を拒否 [#tb83d065]
色々調べてみると、これらは、CTL、CRL以外の方式で制御されている模様。

***SHA1+SSLの組み合わせを拒否(2017/01/01) [#ze08943e]
Windows は 2017 年 1 月 1 日で SHA-1 で署名した TLS 証明書での SSL 通信を拒否する。

-SSLサーバー証明書 : SHA-1 証明書の受付終了と SHA-2 証明書への移行について|Cybertrust.ne.jp~
https://www.cybertrust.ne.jp/sureserver/productinfo/sha1ms.html

-SHA-1 ウェブサーバー証明書は 2017 年2月から警告!~
ウェブサイト管理者は影響の最終確認を – 日本のセキュリティチーム~
https://blogs.technet.microsoft.com/jpsecurity/2016/11/25/sha1countdown/


----
Tags: [[:セキュリティ]], [[:暗号化]], [[:証明書]]
トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS