証明書で発生する問題 の変更点

https://techinfoofmicrosofttech.osscons.jp:443/index.php?%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%81%A7%E7%99%BA%E7%94%9F%E3%81%99%E3%82%8B%E5%95%8F%E9%A1%8C

[ トップ ]   [ 編集 | 差分 | バックアップ | 添付 | リロード ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• 追加された行はこの色です。
• 削除された行はこの色です。
• 証明書で発生する問題 へ行く。
• 証明書で発生する問題 の差分を削除

---

[[Open棟梁Project>http://opentouryo.osscons.jp/]] - [[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>証明書]]

* 目次 [#z7e6f5ba]
#contents

*概要 [#mbf609f4]
[[X.509証明書>証明書]]関係の「あるある」の纏め。

Windowsの証明書ストア（リポジトリ）とAPIが密結合しているため、~
予期せぬ問題が起きることがある。ココではそれらをまとめた。

*プロダクト固有のストア [#z85522c8]
プロダクトによっては、

>[[プロダクト固有の証明書ストア（リポジトリ）を使用しているケース>証明書#dccdb7e5]]

があるが、その場合、動作が異なることになる。

*制御できること [#l2ef348e]
**[[証明書信頼リスト (CTL)]] [#m441d413]
-Microsoft Updateなどでルート証明書の配信ができる。
-Windows7（2008 R2）からは、オンラインでルート証明書の配信ができる。

**[[証明書失効リスト (CRL)]] [#n00a296c]
オンラインで証明書を直ちに失効させることができる。

**その他 [#a5a198d4]
***証明書の利用目的 [#y38609be]
利用目的だけをdisable（信頼停止）にできるらしい。

*ルート証明書までの証明書チェーンが無い [#d1d084c1]

**CTL、CRLでチェーンが切れる。 [#o46a78d3]
-CTLによるルート証明書の削除
-CRLによるルート証明書の失効

によって、証明書チェーンが切れる。

**オレオレ証明書関連 [#y1b496e9]
ルート証明書までの証明書チェーンが無い~

>[[自己（署名）証明書（所謂オレオレ証明書）では、証明書を使用できないことがある。>証明書#c43fe324]]~
（例えば、X509Certificate2に証明書をロードできないことがある）

ルート証明書を「信頼されたルート証明機関」にインストールするなどして対応可能。

*[[証明書信頼リスト (CTL)]] 関連 [#a9e0fa66]

**ルート証明書情報の更新 [#q1bbd3d9]
突然、通信ができなくなるなどの問題発生が発生し得るため、ルート証明書の更新の影響は大きい。

***2015/03/16 [#ha8945e7]
-Microsoft、不正な証明書を失効する更新プログラムを公開 - ITmedia エンタープライズ~
http://www.itmedia.co.jp/enterprise/articles/1503/18/news059.html

***2015/11/30 [#ke584cf0]
-MSが証明書信頼リストを更新--デルのルート証明書問題に対応 - ZDNet Japan~
https://japan.zdnet.com/article/35074332/

***2016/04/22 [#d261258e]
-【追記有(2016.04.22)】Windowsが遂にSymantecG1ルートを捨てるらしい - 情緒不安定。~
http://ls-ltr.hatenablog.com/entry/2016/03/29/012706
-2016年4月のマイクロソフト社のルート証明書情報更新の影響と対策に関するご案内（続報） | Symantec~
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=ALERT2009

*[[証明書失効リスト (CRL)]] 関連 [#f0103e69]
-オンラインで直ちに証明書を失効させられる可能性がある。
-CRLへのアクセスによって、処理遅延が発生することがある。

**処理遅延 [#aaa2674c]
-クライアント（ブラウザ）によって、サイトの表示に時間がかかることがあります | Symantec~
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO22954&actp=LIST&viewlocale=ja_JP

*その他 [#g8b1f6ab]
**特定の証明書の特定の利用を拒否 [#tb83d065]
色々調べてみると、これらは、CTL、CRL以外の方式で制御されている模様。

***SHA1＋SSLの組み合わせを拒否（2017/01/01） [#ze08943e]
Windows は 2017 年 1 月 1 日で SHA-1 で署名した TLS 証明書での SSL 通信を拒否する。

-SSLサーバー証明書 : SHA-1 証明書の受付終了と SHA-2 証明書への移行について｜Cybertrust.ne.jp~
https://www.cybertrust.ne.jp/sureserver/productinfo/sha1ms.html

-SHA-1 ウェブサーバー証明書は 2017 年２月から警告！~
ウェブサイト管理者は影響の最終確認を – 日本のセキュリティチーム~
https://blogs.technet.microsoft.com/jpsecurity/2016/11/25/sha1countdown/


----
Tags: [[:セキュリティ]], [[:暗号化]], [[:証明書]]

       

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.002 sec.