/
771.txt
655 lines (487 loc) · 29.1 KB
/
771.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
[51] [DFN[[RUBYB[[[証明書]]]@en[certificate]]]]は、[[公開鍵]]と[[実体][実体 (人)]]を関連付けたものです。
;; [46] [[PKI]] も参照。
;; [99] [[一般名詞]]のようにも聞こえますが、この分野では[[専門用語]]
(ほぼ[[固有名詞]]) です。
* 仕様書
[REFS[
- [23] [CITE@en[RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile]] ([TIME[2015-02-22 15:44:10 +09:00]] 版) <http://tools.ietf.org/html/rfc5280>
-- [24] [CITE@en[RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile]] ([TIME[2015-02-22 15:44:10 +09:00]] 版) <http://tools.ietf.org/html/rfc5280#section-3.1>
-- [30] '''[CITE@en[RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile]] ([TIME[2015-02-22 15:44:10 +09:00]] 版) <http://tools.ietf.org/html/rfc5280#section-4>'''
--- [62] [CITE@en[RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile]] ([TIME[2015-02-22 15:44:10 +09:00]] 版) <https://tools.ietf.org/html/rfc5280#section-4.2.1.12>
- [43] [CITE[RFC Errata Report]] ([TIME[2015-03-23 15:33:42 +09:00]] 版) <http://www.rfc-editor.org/errata_search.php?rfc=5280>
- [86] [CITE@en[RFC 2585 - Internet X.509 Public Key Infrastructure Operational Protocols: FTP and HTTP]] ([TIME[2015-03-22 13:17:09 +09:00]] 版) <http://tools.ietf.org/html/rfc2585#section-4>
- [87] [CITE[RFC Errata Report]] ([TIME[2015-04-11 22:10:04 +09:00]] 版) <http://www.rfc-editor.org/errata_search.php?rfc=2585>
- [84] [CITE@en[RFC 6066 - Transport Layer Security (TLS) Extensions: Extension Definitions]] ([TIME[2015-02-01 18:07:52 +09:00]] 版) <http://tools.ietf.org/html/rfc6066#section-10.1>
- [61] [CITE@en[RFC 6818 - Updates to the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile]] ([TIME[2015-03-24 03:47:50 +09:00]] 版) <https://tools.ietf.org/html/rfc6818>
- [71] [CITE[[[BR]]]] ([TIME[2014-11-01 05:54:38 +09:00]] 版) <https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf#page=43>
- [64] [CITE[[[BR]]]] ([TIME[2014-11-01 05:54:38 +09:00]] 版) <https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf#page=45>
]REFS]
[31] [[証明書]]一般については [[X.509]] で規定されていますが、
[[インターネット]]では [[X.509]] [[証明書]]の v3 形式の[[プロファイル]]として
[[RFC 5280]] で規定されるものが利用されています。
* 証明書の版
[25] [[CCITT X.509]] の1988年版に最初の[[証明書]]の形式が規定されており、
これは v1 と呼ばれています [SRC[>>24]]。
[28] [[PEM]] (1993) は v1 を採用しています。この運用経験が v3 の開発にフィードバックされています。
[SRC[>>24]]
[26] [[X.509]] は1993年に改訂され、この[[証明書]]の形式が v2 と呼ばれています [SRC[>>24]]。
[27] [[X.509]] は更に1996年に改訂され、この[[証明書]]の形式が v3 と呼ばれています [SRC[>>24]]。
[29] [[RFC 3280]] は v3 の[[インターネット]]向け[[プロファイル]]です。
[[RFC 5280]] はその改訂版です。
[34] [[RFC 5280]] においては、[[証明書]]の版は 3 ですが、場合によっては 2
とできることもあります。その場合でも 3 としても構いません。実装はどの版も受け入れるべきですが、
少なくても 3 に対応しなければなりません。 [SRC[>>30]]
[97] [[TLS/1.2]] の[[証明書]]は v3 とされています。
;; それ以外が使われた時どうなるのかは不明です。
[72] [[BR]] に従う[[ルートCA証明書]]と[[下位CA証明書]]は、 v3 を使わなければ[['''なりません''']] [SRC[>>71]]。
;; [[Subscriber Certificate]] は版の指定がありません。
[102] [[Firefox]] も [[Chrome]] も [[IE]] も v1 にも対応しているようです。 [TIME[2015-08-13T09:50:50.200Z]]
[37] [[版]]は [CODE[[[TBSCertificate]]]] の [DFN[[CODE[[[version]]]]]]
[[欄]]に指定します。
[88] [CODE(MIME)@en[[[application/pkix-cert]]]] と [CODE(MIME)@en[[[application/pkix-crl]]]]
には [CODE(MIME)@en[[[version]]]] [[引数]]があります [SRC[>>86]]。既定値は 1 [SRC[>>86]]
とありますが、意味は規定されていません。
[85] [CODE(MIME)@en[[[application/pkix-pkipath]]]] (2011年) [SRC[>>84]]
にも [CODE(MIME)@en[[[version]]]] [[引数]]があります。こちらも既定値は 1 [SRC[>>84]]
とありますが、意味は規定されていません。
[89] >>88 の [CODE(MIME)@en[[[version]]]] [[引数]]は意味不明であるとして著者自身の[[正誤表]]
(2009年) [SRC[>>87]] により削除されています。 >>85 の [CODE(MIME)@en[[[version]]]]
[[引数]]は[[正誤表]]でも訂正されていません。
;; [90] 意味もわからずコピペして、コピペ元も[[正誤表]]だけで本文が改訂されていないものだから見落としたのでしょうね...
* 構文
[32] [[証明書]]の形式は [[ASN.1]] により定義されています [SRC[>>30]]。
[77] [[DER]] を使って表現するのが一般的ですが、理論上は [[ASN.1]]
に対応した他の構文でも表現できます。
[33] [[署名]]の計算には [[ASN.1]] [[DER]] を使います [SRC[>>30]]。
[35] [[証明書]]は、次の[RUBYB[[[欄]]]@en[field]]で構成されます [SRC[>>30]]。
[FIG(list members)[
[FIGCAPTION[
[CODE[[[Certificate]]]]
]FIGCAPTION]
:[CODE[[[tbsCertificate]]]]:[[署名]]されるデータ。 [CODE[[[TBSCertificate]]]] 型の値。
:[CODE[[[signatureAlgorithm]]]]:
:[CODE[[[signatureValue]]]]:
]FIG]
[36] [DFN[[CODE[[[TBSCertificate]]]]]] 値は次の[[欄]]で構成されます [SRC[>>30]]。
[FIG(list members)[
[FIGCAPTION[
[CODE[[[TBSCertificate]]]]
]FIGCAPTION]
:[CODE[[[version]]]]:[[証明書]]の版。
:[CODE[[[serialNumber]]]]:
:[CODE[[[signature]]]]:
:[CODE[[[issuer]]]]:[[証明書]]の発行者。
:[CODE[[[validity]]]]:[[証明書]]の有効期間。
:[CODE[[[subject]]]]:[[証明書]]の[[公開鍵]]に関連付けられた[[実体]]。
:[CODE[[[subjectPublicKeyInfo]]]]:
:[CODE[[[issuerUniqueID]]]]:
:[CODE[[[subjectUniqueID]]]]:
:[CODE[[[extensions]]]]:[[証明書拡張]]。
]FIG]
* 証明書拡張
[39] [DFN[[CODE[[[extension]]]]]] [[欄]]は、1つ[[以上]]の[DFN[証明書拡張]]の[[列]]です。
これは v3 でのみ使えます。 [SRC[>>30]]
[40] 拡張には、 [[critical]] なものと [[non-critical]] なものがあります。
[[critical]] なものは、認識できないか処理できないデータが含まれているなら、
[[証明書]]を拒絶しなければ[['''なりません''']]。 [[non-critical]]
なものは、認識できなければ無視して構いませんが、認識できるなら処理しなければ[['''なりません''']]。 [SRC[>>30]]
[42] [[証明書]]に同じ種類の拡張を複数含めては[MUST[なりません]] [SRC[>>30]]。
[41] 拡張のいくつかは、対応が[MUST[必須]]となっています。
[FIG(short list)[
- '''[[SAN]]'''
- [[issuer alternative names]]
- [[name constraints]]
- [[authority information access]]
- [[key usage]]
- [[extended key usage]]
- [[netscape-cert-type]]
- [[Certificate Policy]]
- [[SCT]]
- [[Authentication Context]]
]FIG]
[103] [[証明書拡張]]のいくつかは、 [[CSR]] で使われることもあります。
* メタデータ
[74] [[ルートCA証明書]]を保持する実装は、[[証明書]]ごとにメタデータを関連付けて保持していることがあります。
;; [[ルートCA証明書]]を参照。
* ファイル形式
[78] [[証明書]]の表現形式には、次のものがあります。
[FIG(short list)[
- [[DER]]
- [[PKCS #7証明書鎖]]
- [[Netscape Certificate Sequence]]
- [[PFX]]
- [CODE[[[.pem]]]]
]FIG]
[81] [[DER]] 形式は最も基本的な[[証明書]]の表現形式と思われます。
[[Windows]] では「[[DER]] encoded binary X.509」と呼ばれています。
[[DER]] 形式の[[証明書]]は、[[拡張子]] [CODE[[[.cer]]]] [SRC[>>86]] や [CODE[[[.crt]]]]
が用いられることがあります。
[[MIME型]]は [CODE(MIME)@en[[[application/pkix-cert]]]] です [SRC[>>86]]。
;; [91] この[[MIME型]]には [CODE(MIME)@en[[[version]]]] [[引数]] (>>88) があります。
[79] [CODE[[[.pem]]]] 形式の[[証明書]]は、 [[Windows]]
では「Base 64 encoded X.509」と呼ばれています。
[CODE[[[.pem]]]] 形式の[[証明書]]は、[[拡張子]] [CODE[[[.cer]]]]
が用いられることがあります。
;; [CODE[[[.pem]]]] を参照。
[94] [[証明書ダウンロード]]では、 [[MIME型]]として
[CODE(MIME)@en[[[application/x-x509-user-cert]]]]、
[CODE(MIME)@en[[[application/x-x509-ca-cert]]]]、
[CODE(MIME)@en[[[application/x-x509-email-cert]]]]
が使われます。
* 文脈
[38] [[証明書]]は、次の[[プロトコル]]や[[ファイル]]で使われます。
[FIG(short list)[
- [[TLS [CODE[Certificate]]]]
- [[TLS [CODE[CertificateRequest]]]]
- [[certification path]]
- [[PKCS #7]]
- [[証明書ダウンロード]]
- [[起源]]の追加データ
- [CODE[[[report-uri]]]] に送信する [[JSON]]
]FIG]
* 証明書に関する概念
[48] 次の[[証明書]]の分類があります。
[FIG(short list)[
- [[ルート証明書]]
- [[中間証明書]]
- [[交差証明書]]
- [[クロスルート証明書]]
- [[CA証明書]]
-- [[相互認証証明書]]
-- [[自己発行証明書]]
-- [[自己署名証明書]]
- [[末端実体証明書]]
- [[Subscriber Certificate]]
- [[Publicly-Trusted Certificate]]
- [[妥当な証明書]]
- [[SSL証明書]]/[[TLS証明書]]
- [[DV証明書]]
- [[OV証明書]]
- [[EV証明書]]
- [[オレオレ証明書]]
- [[属性証明書]]
- [[サーバー証明書]]
- [[クライアント証明書]]
]FIG]
[47] 次の構文やデータ構造があります。
[FIG(short list)[
- [[subject name]]
- [[X.501 Name]]
-- [[RDN]]
--- [CODE[[[CN]]]]
---- [[CN-ID]]
--- [CODE[[[organizationName]]]]
--- [CODE[[[domainComponent]]]]
- [[GeneralNames]]
-- [CODE[[[dNSName]]]]
-- [CODE[[[iPAddress]]]]
-- [CODE[[[uniformResourceIdentifier ]]]]
-- [[SRV-ID]]
- [[証明書拡張]]
]FIG]
[50] その他次の概念があります。
[FIG(short list)[
- [[CA]]
- [[CSR]]
- [[certification path]]
- [[証明書の発行]]
- [[証明書の検証]]
- [[証明書透明性]]
- [[秘密鍵]]
- [[WebTrust for CA]]
- [[Baseline Requirements]]
- [[証明書ダウンロード]]
- [[証明書データベース]]
- [[失効][失効 (証明書)]]
- [[CAA]]
]FIG]
* SSL 証明書
[57] [[SSL]]/[[TLS]] で使われることを主に想定した[[証明書]]を
[DFN[SSL証明書]] / [DFN[TLS証明書]]といいます。
[58] 明確な定義はなさそうですが、 [[PKIX]] に従った[[証明書]]であって、
[[TLSサーバー]]や[[TLSクライアント]]で用いられるものを指しているようです。
[63] [[RFC 5280]] は [[extended key usage]] 拡張に記述する値として
[CODE[id-kp-serverAuth]] (1.3.6.1.5.5.7.3.1) と [CODE[id-kp-clientAuth]] (1.3.6.1.5.5.7.3.2)
を定義しており、
それぞれ「TLS WWW server authentication」と「TLS WWW client authentication」 [SRC[>>62]]
と説明されています。 [[BR]] に従う [[Subscriber Certificate]] はこの一方または両方が指定されることが要求されています [SRC[>>64]]。
;; [65] しかしながら、これらの値の意味は「TLS WWW」という曖昧な説明以外に明確に規定されていません。
また [[TLS]] や [[HTTPS]] の仕様の側でこれらの値が出現しない[[証明書]]の利用を禁止しているわけでもなさそうです。
[69] [[netscape-cert-type]] 拡張には値として SSL-client (SSL client authentication use)
や SSL-server (SSL server authentication use) を指定できます。
(他に [[CA]] 用の SSL-CA という値もあります。) 当初はこれらの値を持つものが
[[SSL証明書]]と呼ばれていたと思われます。現在でもこれらの値を指定した[[証明書]]はあります。
[59] [[サーバー証明書]]については、 [[CN]] や [[SAN]] に[[ドメイン名]]等が記述され、
[[service identity]] を検証できる状態にあるものを指すのが普通です。
多くの場合は [[HTTPS]] で利用され、 [[CA/Browser Forum]] の規定に基づく [[CA]]
が[[発行]]した[[証明書]]である必要があります。 ([[HTTPS]] で用いない[[証明書]]や限られた範囲でのみ用いられる[[証明書]]の場合はこの限りではありません。)
[60] [[クライアント証明書]]については、特別な制約はなさそうです。[[クライアント証明書]]は組織内など限られた範囲でのみ用いられます。
* 団体
[52] [[証明書]]は [[PKI]] を構成する技術の1つであり、 [[ITU-T]] (および [[ISO/IEC]])
で標準化されています。
[[インターネット]]での利用、特に [[TLS]] との組み合わせに関しては [[IETF]]
が [[PKIX]] として規定しています。
;; [[PKI]] や [[PKIX]] を参照。
[54] [[Web]] で利用可能な[[証明書]] (主として [[HTTPS]] で用いられるもの)
については [[CA/Browser Forum]] が発行基準を定めています。また各[[Webブラウザー事業者]]や
[[OS]] の提供元がそれぞれの利用する[[ルート証明書]]についての基準を設けています。
;; [[CA/Browser Forum]] や[[ルート認証局]]を参照。
[55] 実際の[[証明書]]の発行はこれらの仕様に基づき各種機関・企業が行っています。
;; [[CA]] 参照。
* 歴史
[76] [[PKCS #6]] は v1 の拡張でした。
* 実装
[107] [[nginx]] は [CODE[reload]] しないと[[証明書]]の[[ファイル]]が変更されても再読み込みしません。
[TIME[2015-12-07T09:41:52.700Z]]
[108] おそらく他の実装もそうなっていることが多いでしょう。
[119] [[Let's Encrypt]] のように有効期間の短めの[[証明書]]を自動更新しながら使い続けるモデルが普及していきそうなので、
[[TLS]] の実装もそれに対応できる機能が求められています。
* メモ
[1]
[CITE[無償で正統的なコードサイニング証明書を入手する方法]] <http://sqs.cmr.sfc.keio.ac.jp/tdiary/?date=20051003#p01>
([[名無しさん]] [WEAK[2005-10-04 00:42:50 +00:00]])
[2]
[CITE[高木浩光@自宅の日記 - PKIよくある勘違い(2)「安全に配布すればルート証明書を入れさせてよい」, PKIよくある勘違い(3)「プライベート認証局が妥当なら..]] <http://www.takagi-hiromitsu.jp/diary/20050205.html>
([[名無しさん]])
[3]
『無償で正統的なコードサイニング証明書を入手する方法:その2』 <http://sqs.cmr.sfc.keio.ac.jp/tdiary/?date=20051003#p02>
([[名無しさん]] [WEAK[2006-02-19 07:06:33 +00:00]])
[4]
[CITE@ja-JP[高木浩光@自宅の日記 - IE 7の普及でサーバ証明書失効によるトラブルが表面化する]] ([[高木浩光]] 著, [TIME[2007-04-16 13:20:15 +09:00]] 版) <http://takagi-hiromitsu.jp/diary/20070415.html#p01>
([[名無しさん]] [WEAK[2007-04-17 00:54:40 +00:00]])
[5] [CITE[Intent to Deprecate: SHA-1 certificates - Google グループ]]
( ([TIME[2014-08-30 03:05:20 +09:00]] 版))
<https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/2-R4XziFc7A%5B1-25-false%5D>
[6] [CITE@en[RFC 3709 - Internet X.509 Public Key Infrastructure: Logotypes in X.509 Certificates]]
( ([TIME[2014-09-21 15:55:02 +09:00]] 版))
<https://tools.ietf.org/html/rfc3709>
[7] [CITE@en[RFC 6170 - Internet X.509 Public Key Infrastructure -- Certificate Image]]
( ([TIME[2014-10-27 13:42:42 +09:00]] 版))
<https://tools.ietf.org/html/rfc6170>
[8] [CITE[Security Issue]]
([TIME[2015-03-03 23:44:00 +09:00]] 版)
<http://web.archive.org/web/19970521032145/http://form.netscape.com/newsref/std/ssl_2.0_certificate.html>
[9] [CITE[Netscape Certificate Specifications]]
([TIME[2015-03-03 23:44:23 +09:00]] 版)
<http://web.archive.org/web/19990218203921/http://home.netscape.com/eng/security/certs.html>
[10] [CITE[Netscape Certificate Download Specification]]
([TIME[2015-03-03 23:45:26 +09:00]] 版)
<http://web.archive.org/web/19990202032056/http://www.home.netscape.com/eng/security/downloadcert.html>
[11] [CITE[Netscape Certificate Download Specification]]
([TIME[2015-03-03 23:45:41 +09:00]] 版)
<http://web.archive.org/web/19990129050825/http://www.home.netscape.com/eng/security/comm4-cert-download.html>
[12] [CITE[Netscape Certificate Extensions Specification]]
([TIME[2015-03-03 23:46:09 +09:00]] 版)
<http://web.archive.org/web/19990129063212/http://www.home.netscape.com/eng/security/comm4-cert-exts.html>
[13] [CITE[Netscape Certificate Extensions Specification]]
([TIME[2015-03-03 23:46:31 +09:00]] 版)
<http://web.archive.org/web/19990218190724/http://home.netscape.com/eng/security/cert-exts.html>
[14] [CITE[Netscape Certificate Download Specification]]
([TIME[2015-03-03 23:46:44 +09:00]] 版)
<http://web.archive.org/web/19990202032056/http://www.home.netscape.com/eng/security/downloadcert.html>
[15] [CITE[Security Issue]]
([TIME[2015-03-03 23:47:02 +09:00]] 版)
<http://web.archive.org/web/19991008215709/http://home.netscape.com/eng/security/ssl_2.0_certificate.html>
[16] [CITE@en[RFC 6091 - Using OpenPGP Keys for Transport Layer Security (TLS) Authentication]]
([TIME[2014-12-30 23:21:42 +09:00]] 版)
<http://tools.ietf.org/html/rfc6091>
[17] [CITE[Transport Layer Security (TLS) Extensions]]
([TIME[2015-03-13 06:28:01 +09:00]] 版)
<http://www.iana.org/assignments/tls-extensiontype-values/tls-extensiontype-values.xhtml#tls-extensiontype-values-3>
[18] [CITE[Transport Layer Security (TLS) Extensions]]
([TIME[2015-03-13 06:28:01 +09:00]] 版)
<http://www.iana.org/assignments/tls-extensiontype-values/tls-extensiontype-values.xhtml#certificate-status>
[19] [CITE@en[ImperialViolet - Revocation checking and Chrome's CRL]]
([[Adam Langley]] 著, [TIME[2015-03-21 15:52:08 +09:00]] 版)
<https://www.imperialviolet.org/2012/02/05/crlsets.html>
[20] [CITE@en[CA:Certificate Download Specification - MozillaWiki]]
( ([TIME[2013-08-10 14:11:55 +09:00]] 版))
<https://wiki.mozilla.org/CA:Certificate_Download_Specification>
[FIG(quote)[
[FIGCAPTION[
[22] [CITE@en[Necko/Differences - MozillaWiki]]
([TIME[2015-03-21 17:34:27 +09:00]] 版)
<https://wiki.mozilla.org/Necko/Differences>
]FIGCAPTION]
>
> Other browsers have more robust certificate chain processing; ours gets confused in some common situations.
]FIG]
[44] [CITE@en-us[Google warns of unauthorized TLS certificates trusted by almost all OSes ''''''[''''''Updated'''''']'''''' | Ars Technica]]
([TIME[2015-04-02 02:26:29 +09:00]] 版)
<http://arstechnica.com/security/2015/03/google-warns-of-unauthorized-tls-certificates-trusted-by-almost-all-oses/>
[45] [CITE@en[CA:Problematic Practices - MozillaWiki]]
([TIME[2015-04-02 07:13:46 +09:00]] 版)
<https://wiki.mozilla.org/CA:Problematic_Practices>
[FIG(quote)[
[FIGCAPTION[
[53] ([TIME[2014-11-01 05:54:38 +09:00]] 版)
<https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf#page=9>
]FIGCAPTION]
> Certificate: An electronic document that uses a digital signature to bind a public key and an identity
]FIG]
[FIG(quote)[
[FIGCAPTION[
[56] ([TIME[2014-11-01 05:54:38 +09:00]] 版)
<https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf#page=12>
]FIGCAPTION]
> Valid Certificate: A Certificate that passes the validation procedure specified in RFC 5280.
]FIG]
[66] [CITE[Netscape Certificate Download Specification]]
([TIME[2015-04-06 14:29:38 +09:00]] 版)
<http://web.archive.org/web/19970709163955/http://home.netscape.com/eng/security/downloadcert.html>
[67] [CITE[Netscape Certificate Extensions Specification]]
([TIME[2015-04-06 14:30:27 +09:00]] 版)
<http://web.archive.org/web/19970727173508/http://home.netscape.com/eng/security/cert-exts.html>
[68] [CITE@en[Constants for Netscape Extensions (Windows)]]
([TIME[2015-04-06 14:38:29 +09:00]] 版)
<https://msdn.microsoft.com/en-us/library/windows/desktop/aa378149(v=vs.85).aspx>
[FIG(quote)[
[FIGCAPTION[
[70] [CITE[X.509電子証明書の互換性]]
([TIME[2013-06-07 18:33:46 +09:00]] 版)
<https://www.ipa.go.jp/security/fy10/contents/over-all/02/25.html>
]FIGCAPTION]
> Netscape Communicator では更に独自拡張として netscape-cert-type, netscape-comment が利用されている。これらの拡張型は 1997年8月に Netscape 社の Jeff Weinstein がドラフトとして公開された。このドラフトでは上の2つのほか netscape-base-url, netscape-revocation-url, netscape-ca-revocation-url, netscape-cert-renewal-url, netscape-ca-policy-url, netscape-ssl-server-name が定義されているが、これらは廃止 (obsolete) されている。
]FIG]
[73] [CITE@en[CA:MD5and1024 - MozillaWiki]]
([TIME[2015-04-06 13:38:43 +09:00]] 版)
<https://wiki.mozilla.org/CA:MD5and1024>
[FIG(quote)[
[FIGCAPTION[
[75] [CITE@en[Google Online Security Blog: Maintaining digital certificate security]]
([TIME[2015-04-07 02:44:35 +09:00]] 版)
<http://googleonlinesecurity.blogspot.jp/2015/03/maintaining-digital-certificate-security.html>
]FIGCAPTION]
> To assist customers affected by this decision, for a limited time we will allow CNNIC’s existing certificates to continue to be marked as trusted in Chrome, through the use of a publicly disclosed whitelist.
]FIG]
[80] [CITE[技術/Security/PKI,SSL,TLS/メモ01_拡張子の迷宮(pem,der,crt,cer,csr,...) - Glamenv-Septzen.net]]
([TIME[2015-04-08 00:37:30 +09:00]] 版)
<http://www.glamenv-septzen.net/view/1058>
[FIG(quote)[
[FIGCAPTION[
[82] [CITE@en[CA:Certificate Download Specification - MozillaWiki]]
([TIME[2015-04-11 10:52:13 +09:00]] 版)
<https://wiki.mozilla.org/CA:Certificate_Download_Specification>
]FIGCAPTION]
> Mozilla products can accept certificates in several formats. In all cases the certificates are X509 version 1, 2, or 3.
]FIG]
[83] [CITE[Issue 66342 - android - <keygen> html5 element creates but does not save certificate - Android Open Source Project - Issue Tracker - Google Project Hosting]]
([TIME[2015-04-11 21:47:59 +09:00]] 版)
<https://code.google.com/p/android/issues/detail?id=66342>
[93] [CITE[Netscape Certificate Extensions Specification]]
([TIME[2015-04-12 13:23:19 +09:00]] 版)
<http://web.archive.org/web/19990129063212/http://www.home.netscape.com/eng/security/comm4-cert-exts.html>
[92] [CITE@en-US[Exciting Updates to Certificate Verification in Gecko | Mozilla Security Blog]]
([TIME[2015-04-12 17:54:11 +09:00]] 版)
<https://blog.mozilla.org/security/2014/04/24/exciting-updates-to-certificate-verification-in-gecko/>
[95] [CITE@en[X.690 : Information technology - ASN.1 encoding rules: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)]]
([[tsbmail]] 著, [TIME[2015-04-13 09:12:05 +09:00]] 版)
<http://www.itu.int/rec/T-REC-X.690-200811-I/en>
[96] [CITE@en[X.690 : Information technology - ASN.1 encoding rules: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)]]
([[tsbmail]] 著, [TIME[2015-04-13 09:12:35 +09:00]] 版)
<http://www.itu.int/rec/T-REC-X.690-200811-I/en>
[21] [CITE@en-US[Oops: Instagram forgot to renew its SSL certificate]]
([[Owen Williams]] 著, [TIME[2015-04-30 20:39:17 +09:00]] 版)
<http://thenextweb.com/apps/2015/04/30/oops-instagram-forgot-to-renew-its-ssl-certificate/>
[98] [CITE@en-US[Fraudulent *.google.com Certificate | Mozilla Security Blog]]
([TIME[2015-06-06 23:44:36 +09:00]] 版)
<https://blog.mozilla.org/security/2011/08/29/fraudulent-google-com-certificate/>
[100] [CITE@en[RFC 5697 - Other Certificates Extension]]
([TIME[2015-05-31 18:51:54 +09:00]] 版)
<https://tools.ietf.org/html/rfc5697>
[101] [CITE@en[RFC 3739 - Internet X.509 Public Key Infrastructure: Qualified Certificates Profile]]
([TIME[2015-07-26 17:24:08 +09:00]] 版)
<https://tools.ietf.org/html/rfc3739>
[104] [CITE[Web Security Context: User Interface Guidelines]]
([TIME[2010-08-04 20:09:50 +09:00]] 版)
<http://www.w3.org/TR/wsc-ui/#tlstosecurehttp>
[105] [CITE@en[RFC 7633 - X.509v3 Transport Layer Security (TLS) Feature Extension]]
([TIME[2015-11-01 21:53:27 +09:00]] 版)
<https://tools.ietf.org/html/rfc7633>
[FIG(quote)[
[FIGCAPTION[
[106] [CITE[Why ninety-day lifetimes for certificates?]]
([TIME[2015-11-10 01:57:28 +09:00]] 版)
<https://letsencrypt.org/2015/11/09/why-90-days.html>
]FIGCAPTION]
> According to Firefox Telemetry, 29% of TLS transactions use ninety-day certificates. That’s more than any other lifetime.
]FIG]
[49] [CITE@en[OpenSSL]]
( ([[OpenSSL Foundation, Inc.]]著, [TIME[2016-05-30 22:16:57 +09:00]]))
<https://www.openssl.org/docs/manmaster/apps/x509v3_config.html#TLS-Feature-aka-Must-Staple>
[109] [CITE@en[gecko-dev/security/manager/ssl/tests/unit at master · mozilla/gecko-dev]]
( ([TIME[2016-05-31 13:09:01 +09:00]]))
<https://github.com/mozilla/gecko-dev/tree/master/security/manager/ssl/tests/unit>
[110] [CITE[cURL - SSL CA Certificates]]
( ([TIME[2016-05-24 16:25:10 +09:00]]))
<https://curl.haxx.se/docs/sslcerts.html>
[FIG(quote)[
[FIGCAPTION[
[111] [CITE[cURL - How To Use]]
( ([TIME[2016-05-31 06:05:05 +09:00]]))
<https://curl.haxx.se/docs/manpage.html#-k>
]FIGCAPTION]
> -k, --insecure
> (SSL) This option explicitly allows curl to perform "insecure" SSL connections and transfers. All SSL connections are attempted to be made secure by using the CA certificate bundle installed by default. This makes all connections considered "insecure" fail unless -k, --insecure is used.
]FIG]
[112] [CITE@ja[【悲報】Google、シマンテック発行のSSL証明書を問答無用でブロックへ : IT速報]]
( ([TIME[2017-03-28 00:23:10 +09:00]]))
<http://blog.livedoor.jp/itsoku/archives/50935193.html>
[113] [CITE@en[sleevi/explainer: Technical 'explainer' related to https://groups.google.com/a/chromium.org/d/msg/blink-dev/eUAKwjihhBs/rpxMXjZHCQAJ]]
( ([TIME[2017-03-28 00:28:40 +09:00]]))
<https://github.com/sleevi/explainer>
[114] [CITE@en[Symantec Certificates]]
( ([TIME[2017-03-28 00:30:16 +09:00]]))
<https://chromium.googlesource.com/chromium/src/+/master/net/data/ssl/symantec/README.md>
[115] [CITE@en[net/data/ssl - chromium/src - Git at Google]]
( ([TIME[2017-03-28 01:09:23 +09:00]]))
<https://chromium.googlesource.com/chromium/src/+/master/net/data/ssl>
[116] [CITE@en['''['''Managed PKI for SSL''']''' Google Chrome57 のバグにより EV SSL 証明書の組織名がグリーン表示されない事象について | Symantec]]
([TIME[2017-03-28 10:41:33 +09:00]])
<https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?vproductcat=V_C_S&vdomain=VERISIGN.JP&page=content&id=INFO4287&actp=RSS&viewlocale=ja_JP&locale=ja_JP&redirected=true>
[117] [CITE@en[705285 - EV evaluation breaks if "2.23.140.1.1" is present and the root is not enabled for it - chromium - Monorail]]
([TIME[2017-03-28 10:43:11 +09:00]])
<https://bugs.chromium.org/p/chromium/issues/detail?id=705285>
[FIG(quote)[
[FIGCAPTION[
[118] [CITE@en[RFC 8040 - RESTCONF Protocol]]
([TIME[2017-03-27 23:03:09 +09:00]])
<https://tools.ietf.org/html/rfc8040#section-2.2>
]FIGCAPTION]
> RESTCONF servers MUST present an X.509v3-based certificate when
> establishing a TLS connection with a RESTCONF client. The use of
> X.509v3-based certificates is consistent with NETCONF over TLS
> '''['''RFC7589''']'''.
]FIG]
[120] [CITE[crt.sh | Certificate Search]]
([TIME[2017-05-08 11:46:25 +09:00]])
<https://crt.sh/>
[121] [CITE@en[crt.sh]]
([TIME[2017-05-08 11:46:38 +09:00]])
<https://github.com/crtsh>
[122] [CITE[crt.sh | Certificate Search]]
([TIME[2018-03-02 23:48:17 +09:00]])
<https://crt.sh/>
[123] [CITE@en[crt.sh]]
([TIME[2018-03-02 23:48:33 +09:00]])
<https://github.com/crtsh>
[FIG(quote)[
[FIGCAPTION[
[124] [CITE@ja[〔三菱UFJダイレクト〕銀行名変更にともなうサーバ証明書の切替について | 三菱UFJ銀行]]
([TIME[2018-05-21 23:58:49 +09:00]])
<http://direct.bk.mufg.jp/info_news/20180522_server/index.html>
]FIGCAPTION]
> 2018年6月10日(日)に新銀行名のサーバ証明書への切替を予定しております。
]FIG]
[125] [CITE@en[Is the Certificate Authority name-constrained somehow? · Issue #11075 · web-platform-tests/wpt]]
([TIME[2018-06-13 22:26:15 +09:00]])
<https://github.com/web-platform-tests/wpt/issues/11075>
[126] [CITE[Ruby の openssl ライブラリを使って、サーバ証明書やクライアント証明書を作成する]]
([TIME[2018-08-05 23:52:14 +09:00]])
<https://qiita.com/k-masaki/items/12b5e8a1874214308912>
[127] [CITE[OpenSSLでオレオレ認証局を作ろう - 気ままなブログ]]
([TIME[2017-01-21 17:24:22 +09:00]])
<http://d.hatena.ne.jp/entree/20150308/1425828062>
[128] [CITE@en[FGasper/p5-Crypt-Perl: CPAN’s Crypt::Perl]]
([TIME[2018-08-11 20:42:52 +09:00]])
<https://github.com/FGasper/p5-Crypt-Perl>