-
Notifications
You must be signed in to change notification settings - Fork 4
/
747.txt
459 lines (341 loc) · 25.1 KB
/
747.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
[35] [DFN[[RUBYB[ルート証明書]@en[root certificate]]]]は、[[証明書]]の検証の起点となる[[証明書]]
([[trust anchor]]) です。
[[Webブラウザー]]などの [[TLSクライアント]]は、自身 (の[[利用者]]) が信頼する[[ルート証明書]]群を保持しており、それを使って [[TLS]]
によって受信した[[サーバー証明書]]を検証します。
;; [60] [[末端実体証明書]]の検証には[[ルート証明書]]の他に[[中間証明書]]も必要ですが、
[[TLS]] では[[末端実体証明書]]と共に[[中間証明書]]もすべて送信することになっていますから、
[[Webブラウザー]]が予め保持しておく必要があるのは[[ルート証明書]]だけです。
* 仕様書
[REFS[
- [14] [[BR]] ([TIME[2014-11-01 05:54:38 +09:00]] 版)
<https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf#page=12>
]REFS]
* ルートCA
[8] [[Application Software Suppliers]] によって[[ルート証明書]]が配布されると共に、
[[下位CA証明書]]を[[発行]]する最上位[[認証局]] ([[CA]]) を[DFN[[RUBYB[[[ルートCA]]]@en[Root CA]]]]といいます [SRC[>>14]]。
[33] [[BR]] は[[ルートCA]]に対する要件を定めています。
* ルート証明書
[32] [[ルートCA]]が自己を識別するため、および[[下位CA]]に[[発行]]した[[証明書]]を[RUBYB[検証]@en[verify]]させるために[[発行]]する[[自己署名証明書]]を[DFN[[RUBYB[[[ルート証明書]]]@en[Root Certificate]]]]といいます [SRC[>>14]]。
[34] [[BR]] は[[ルート証明書]]に対する要件を定めています。
次のものは[[ルート証明書]]に関する規定があります。
[FIG(short list)[
- [[証明書ポリシー]]
- [[extended key usage]]
]FIG]
* ルートCAの指定
[64] [[TLS]] [CODE[[[CertificateRequest]]]] [[メッセージ]]の
[CODE[[[certificate_authorities]]]] には、[[サーバー]]が受け付ける[[ルートCA]]の[[DN]]を指定できます。
[63] [[TLS拡張]] [CODE[[[trusted_ca_keys]]]] は、自身が信頼している[[ルートCA]]
に関する情報を相手に伝え、それに沿った[[証明書]]を送信することを求めるものです。
* 証明書データベース
[61] [[Webブラウザー]]等の [[TLSクライアント]]は[[証明書データベース]]に[[ルート証明書]]を保持しています。
[31] [[Webブラウザー]]等の[[TLSクライアント]]は[[ルートCA証明書]]に次の[[メタデータ]]を付与して管理しています。
[FIG(list members)[
:[[EV証明書]]用であるか否か:[[EV]] 表示するかの判定に使います。
:[[trust bits]]:適用対象の[[アプリケーション]]を表します。
:システムに組み込まれた証明書か否か:[[Pin Validation]] で使います。
]FIG]
* ルート証明書採用ポリシー
[47] 各種の [[OS]] や [[Webブラウザー]]の事業者は、自身の製品に含める[[ルート証明書]]について基準を設けて公表しています。
各[[ルートCA]]は各基準に従い運用していることを事業者に示し、
[[ルート証明書]]を事業者に提供しています。
[48] 各事業者の基準はそれぞれに異なりますが、 [[CA/Browser Forum]] の運用基準や
[[WebTrust]] の監査基準に従うこと、またはそれに相当することを求めているものもあります。
[49] いずれにせよ、ほとんどの[[利用者]]は[[ルート証明書]]の選択を完全に[[利用者エージェント]]に委ねていますから、
各事業者が[[ルートCA]]を厳格に審査し信頼できる[[ルート証明書]]のみを含めることが極めて重要です。
[65] 現在の [[Webブラウザー]]は、[[ルート証明書]]を含めるかどうかに加えて、
[[EV証明書]]として扱うかどうかも判断する必要があります。
;; [66] [[ルートCA]]が[[EV証明書]]のつもりで[[発行]]したかどうかは[[証明書]]の内容から判断できますが
([[EV OID]] 参照)、[[EV]] であると信用する[[ルート証明書]]を使ったもののみが
[[Webブラウザー]]上で [[EV証明書]]として表示されます。ですから、
[[EV証明書]]のつもりで購入したものが、ある[[Webブラウザー]]では非 [[EV]]
とみなされる可能性はあります。 (実際上、[[EV証明書]]を発行する[[ルートCA]]
で [[EV]] 発行元として [[Webブラウザー]]事業者に承認されず、しかし非 [[EV]]
の[[ルート証明書]]としては承認されるような事例があるのかどうかはわかりません。)
[52] 各事業者は[[ルートCA]]に費用を請求していないようです。
[REFS[
- [43] [CITE@en-US[Info about Root-Embedding Programs - CA Trust Anchors in Browsers/OS]]
([TIME[2015-04-02 12:22:39 +09:00]] 版)
<https://cabforum.org/browser-os-info/>
- [25] [CITE@en[Mozilla CA Certificate Policy — Mozilla]]
([TIME[2015-04-06 18:34:55 +09:00]] 版)
<https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/policy/>
-- [26] [CITE@en[Mozilla CA Certificate Inclusion Policy — Mozilla]]
([TIME[2015-04-06 18:36:16 +09:00]] 版)
<https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/policy/inclusion/>
-- [39] [CITE@en[Mozilla CA Certificate Maintenance Policy — Mozilla]] ([TIME[2015-04-06 23:03:08 +09:00]] 版) <https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/policy/maintenance/>
-- [40] [CITE@en[Mozilla CA Certificate Enforcement Policy — Mozilla]] ([TIME[2015-04-06 23:03:24 +09:00]] 版) <https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/policy/enforcement/>
- [44] [CITE@en[Introduction to The Microsoft Root Certificate Program - TechNet Articles - United States (English) - TechNet Wiki]]
([TIME[2015-04-02 12:21:48 +09:00]] 版)
<http://social.technet.microsoft.com/wiki/contents/articles/3281.introduction-to-the-microsoft-root-certificate-program.aspx>
-- [51] [CITE@en[Microsoft Root Certificate Program]] ([TIME[2015-04-06 23:20:22 +09:00]] 版) <https://technet.microsoft.com/en-us/library/cc751157.aspx>
- [45] [CITE[Root Certificate Policy - The Chromium Projects]]
([TIME[2015-04-02 11:12:06 +09:00]] 版)
<http://dev.chromium.org/Home/chromium-security/root-ca-policy>
- [46] [CITE@en-US[Apple - Root Certificate Program]]
([[Apple Inc.]] 著, [TIME[2015-04-02 12:22:45 +09:00]] 版)
<http://www.apple.com/certificateauthority/ca_program.html>
- [5] [CITE@ja[Operaに含まれているルート証明書の取得]]
([[ドキュメント]] 著, [TIME[2015-03-14 20:51:34 +09:00]] 版)
<http://www.opera.com/docs/ca/>
]REFS]
[53] [[Chrome]] は [[OS]] が[[ルート証明書]]を持っていれば、それを使うようです。
しかし [[EV]] かどうかの判定は原則として自身で行うようです。
[67] [[ルート証明書]]として事業者が承認したものが [[Webブラウザー]]や [[OS]]
に反映されるまでの時差は、製品毎に異なります。自動更新機能がない製品では、
事業者が更新版を提供しても所有者がそれを適用しない可能性もあります。
また更新が行われなくなった古い製品では[[ルート証明書]]の更新も行われません。
そのため[[相互運用性]]の問題が生じることもあります (>>38)。
;; そのため[[クロスルート証明書]]のような技法が採られることがあります。
[41] [CITE@en-US[Mozilla CA Certificate Policy]]
( ([[Frank Hecker and Kathleen Wilson]] 著, [TIME[2013-12-03 01:48:20 +09:00]] 版))
<http://www.mozilla.org/projects/security/certs/policy/>
[FIG(quote)[
[FIGCAPTION[
[42] [CITE[Certificate Authority Program]]
([TIME[2015-04-06 14:29:01 +09:00]] 版)
<http://web.archive.org/web/19970727173502/http://home.netscape.com/assist/security/certificates/caprogram.html>
]FIGCAPTION]
> The Certificate Authority Program is designed to make it easier for Netscape customers to get certificates. For more information on getting a personal certificate, check out the Certificate Authorities that are currently offering client and server certificate services.
> The Certificate Authority program is open to Certificate Authorities that meet an established set of criteria. Certificate Authorities may participate at the Premier, Distinguished, and Basic levels, though the Premier level is closed at this time.
]FIG]
* Mozilla の CA 証明書集
[54] [[オープンソースソフトウェア]]の多くは [[Mozilla]]
が管理する[[ルート証明書]]を取り出したものを利用しているようです。
[[Unix]] 系の [[OS]] では大抵標準のパッケージとして提供されています。
[REFS[
- [4] [CITE[cURL - Extract CA Certs from Mozilla]]
([TIME[2015-02-09 19:02:35 +09:00]] 版)
<http://curl.haxx.se/docs/caextract.html>
- [3] [CITE@en[gisle/mozilla-ca]]
([TIME[2015-03-08 10:01:49 +09:00]] 版)
<https://github.com/gisle/mozilla-ca>
-- [68] [CITE@en[mozilla-ca/cacert.pem at master · gisle/mozilla-ca]] ([TIME[2015-05-01 19:39:17 +09:00]] 版) <https://github.com/gisle/mozilla-ca/blob/master/lib/Mozilla/CA/cacert.pem>
- [2] [CITE[Mozilla::CA - search.cpan.org]]
([TIME[2015-03-08 10:00:58 +09:00]] 版)
<http://search.cpan.org/dist/Mozilla-CA/lib/Mozilla/CA.pm>
]REFS]
[55] なお [[Mozilla]] の[[ルート証明書]]の一覧は、 ([[ソースコード]]の他)
>>30 にもあります。
[REFS[
- [30] [6] [CITE@en[CA:IncludedCAs - MozillaWiki]]
([TIME[2015-03-21 11:10:02 +09:00]] 版)
<https://wiki.mozilla.org/CA:IncludedCAs>
- [29] [CITE@en[CA:PendingCAs - MozillaWiki]]
([TIME[2015-04-06 13:44:18 +09:00]] 版)
<https://wiki.mozilla.org/CA:PendingCAs>
]REFS]
;; [59] [[Mozilla]] は[[中間CA]]は含まず[[ルートCA]]にだけ言及していると思われる箇所でも全般的に単に
[[CA]] と呼んでいるようです。
* 相互運用性
[36] [[相互運用性]]のためにはすべての[[クライアント]]がまったく同じ[[ルート証明書]]の[[集合]]を保持している必要がありますが、
実際には各[[クライアント]]の開発元や[[クライアント]]を実行する環境のシステム管理者、
末端の[[利用者]]の設定などによって利用できる[[ルート証明書]]は異なります。
[38] 実際に、 [[HTTPS]] で利用される[[サーバー証明書]]が変更され必要な[[ルート証明書]]が変化し、ある日突然[[クライアント]]が正しく動作しなくなるといったトラブルがしばしば起こっています。
[37] 多くの環境で利用できる[[ルート証明書]]を用いた[[証明書]]ほど[[相互運用性]]が高いため、
[[証明書]]を[[発行]]する [[CA]] を選択する基準の一つともなっています。
;; [72] 往々にしてそのような [[CA]] ほど[[証明書]]の発行手数料は高額です。
[FIG(quote)[
[FIGCAPTION[
[7] [CITE@en[Necko/Differences - MozillaWiki]]
([TIME[2015-03-21 17:34:27 +09:00]] 版)
<https://wiki.mozilla.org/Necko/Differences>
]FIGCAPTION]
> Our SSL CA certificate database is basically a subset of Windows' and Mac OS X's, so our users are probably more likely to encounter certificate error pages unnecessarily.
]FIG]
[12] [CITE[Node-v0.10.34がはまったクロスルート証明書とOpenSSLの落とし穴 - ぼちぼち日記]]
([TIME[2015-03-04 23:16:15 +09:00]] 版)
<http://d.hatena.ne.jp/jovi0608/20141222/1419265270>
[13] [CITE[携帯電話とSSLルート証明書]]
([TIME[2015-02-18 02:34:53 +09:00]] 版)
<http://triaez.kaisei.org/~kaoru/ssl/cell.html>
[17] [CITE[gitやcurlやwgetでGitHubにアクセスするとcertification errorになる原因を調べてみた - Dマイナー志向]]
([TIME[2015-03-29 12:43:51 +09:00]] 版)
<http://d.hatena.ne.jp/tmatsuu/20110614/1308010044>
[18] [CITE[RHEL5/CentOS5でGlobalSignのルート証明書が有効期限切れで大騒ぎ - インフラエンジニアway - Powered by HEARTBEATS]]
([TIME[2015-04-06 14:55:45 +09:00]] 版)
<http://heartbeats.jp/hbblog/2014/01/rhel5centos5globalsign.html>
[FIG(quote)[
[FIGCAPTION[
[27] [CITE[cURL - Extract CA Certs from Mozilla]]
([TIME[2015-02-09 19:02:35 +09:00]] 版)
<http://curl.haxx.se/docs/caextract.html>
]FIGCAPTION]
> Around early September 2014, Mozilla removed the trust bits from the certs in their CA bundle that were still using RSA 1024 bit keys. This may lead to TLS libraries having a hard time to verify some sites if the library in question doesn't properly support "path discovery" as per RFC 4158. (That includes OpenSSL and GnuTLS.)
]FIG]
* ルート証明書の追加
[79] 普通は[[ルート証明書]]を一般利用者が手動で追加しなければならないことはありませんし、
するべきでもありません。
[80] 例外的に、次のような状況があります。 ([[利用者]]といっても本当の[[末端利用者]]ではなく、
[[システム管理者]]が追加するのが普通かもしれませんが。)
[FIG(list)[
- [81] [[イントラネット]]等の対象利用者が限定されるシステムにアクセスする際に、
私的な[[認証局]]が用いられるため、その[[ルート証明書]]を追加する必要がある場合
- [82] [[ネットワーク]]の制約上、 [[MITM proxy]] を利用する必要があり、
その用いる[[ルート証明書]]を追加する必要がある場合
- [84] [[TLS]] を用いる[[アプリケーション]]の開発で、
その場限りの開発用の[[証明書]]を発行して利用する場合に、
その[[ルート証明書]]を追加する必要がある場合
]FIG]
[83] [[証明書データベース]]も参照。
* セキュリティー
[73] [[証明書データベース]]のセキュリティーの項を参照。
* メモ
[1] [CITE@ja[ルート証明書 - Wikipedia]]
([TIME[2015-02-05 09:57:04 +09:00]] 版)
<http://ja.wikipedia.org/wiki/%E3%83%AB%E3%83%BC%E3%83%88%E8%A8%BC%E6%98%8E%E6%9B%B8>
[FIG(quote)[
[FIGCAPTION[
[9] [CITE@ja[ダウンロードコーナーのご利用に当たって【事前準備】|e-Tax]]
([[国税庁]] 著, [TIME[2015-03-23 08:29:08 +09:00]] 版)
<https://www.e-tax.nta.go.jp/download/index.htm>
]FIGCAPTION]
> e-Taxのご利用に当たっては、ご使用のパソコンに政府共用認証局(官職認証局)と政府共用認証局(アプリケーション認証局2)のルート証明書・中間証明書をインストールする必要があります
]FIG]
[FIG(quote)[
[FIGCAPTION[
[10] [CITE[中国ネット管理機関、ルート証明書に関するグーグル決定非難 | テクノロジーニュース | Reuters]]
([[]] 著, [TIME[2015-04-03 00:47:29 +09:00]] 版)
<http://jp.reuters.com/article/technologyNews/idJPKBN0MT0OQ20150402>
]FIGCAPTION]
> CNNICのルート証明書をこれ以上認識しないと決定したことについて「理解できず、受け入れられない」と表明した。
]FIG]
[11] [CITE@en-US[Phasing out Certificates with 1024-bit RSA Keys | Mozilla Security Blog]]
([TIME[2015-04-03 00:53:34 +09:00]] 版)
<https://blog.mozilla.org/security/2014/09/08/phasing-out-certificates-with-1024-bit-rsa-keys/>
[15] [CITE@ja-JP[Java環境に手動でグローバルサインのルート証明書をインストールする方法 | SSL・電子証明書ならGMOグローバルサイン]]
([TIME[2015-04-06 14:16:28 +09:00]] 版)
<https://jp.globalsign.com/support/faq/331.html>
[16] [CITE@ja[Superfishのように勝手にルート証明書をインストールするソフト、続々見つかる | スラッシュドット・ジャパン セキュリティ]]
([TIME[2015-04-06 14:51:37 +09:00]] 版)
<http://security.slashdot.jp/story/15/02/24/0230220/>
[19] [CITE@ja[JVNVU#92865923: Komodia Redirector がルート CA 証明書と秘密鍵をインストールする問題]]
([TIME[2015-02-24 11:44:44 +09:00]] 版)
<https://jvn.jp/vu/JVNVU92865923/>
[20] [CITE@en[CA:UserCertDB - MozillaWiki]]
([TIME[2015-04-06 09:56:30 +09:00]] 版)
<https://wiki.mozilla.org/CA:UserCertDB>
[FIG(quote)[
[FIGCAPTION[
[21] [CITE@ja-JP[ルート証明書について - 福井大学総合情報基盤センター]]
([TIME[2015-03-05 11:35:23 +09:00]] 版)
<http://www.cii.u-fukui.ac.jp/service/cert.html>
]FIGCAPTION]
> 総合情報基盤センターでは、情報システム切り替えに伴い、例えばメールサーバなどでSSLを用い通信を保護した設定にするなど、セキュリティ面の強化を行っております。
> 大学のルート証明書をインポート(インストール)していない場合、SSLを使用した学内の各種サーバへのアクセスにおいて、警告が表示されるようになります。
> そこで、以下のルート証明書のインポート(インストール)をお願いいたします。
> <発行者>
> RootCertification Authority,
> Center for Information Initiative,
> UNIVERSITY OF FUKUI,
> JP
> <有効期間>
> 2012/01/12~2018/03/31
]FIG]
[FIG(quote)[
[FIGCAPTION[
[22] [CITE@ja[作ろうiモードコンテンツ:主なスペック | サービス・機能 | NTTドコモ]]
([TIME[2015-04-06 15:02:31 +09:00]] 版)
<https://www.nttdocomo.co.jp/service/developer/make/content/ssl/spec/>
]FIGCAPTION]
> 以下7種類の認証局に対応したルート証明書(以下、端末側ルート証明書)が、SSL対応機種にそれぞれ搭載されています。
]FIG]
[FIG(quote)[
[FIGCAPTION[
[23] [CITE@ja[Mobile Creation | ソフトバンクモバイル]]
([TIME[2014-08-29 10:51:46 +09:00]] 版)
<http://creation.mb.softbank.jp/mc/tech/tech_web/web_ssl.html>
]FIGCAPTION]
> ルート証明書
> 下記8社31種類のCAが発行したサーバ証明書に対応しています。
]FIG]
[FIG(quote)[
[FIGCAPTION[
[24] [CITE@ja[Mobile Creation | ソフトバンクモバイル]]
([TIME[2014-08-29 10:51:46 +09:00]] 版)
<http://creation.mb.softbank.jp/mc/tech/tech_web/web_ssl.html>
]FIGCAPTION]
> ルート証明書
> 下記8社31種類のCAが発行したサーバ証明書に対応しています。
]FIG]
[28] [CITE[Symantec/Thawte EV and Trust Bit Change Request - Google Groups]]
([TIME[2015-04-06 18:44:48 +09:00]] 版)
<https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/Ej7n2b7NxVs>
[50] [CITE@en-us[An automatic updater of revoked certificates is available for Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2]]
([TIME[2015-04-06 23:16:03 +09:00]] 版)
<http://support.microsoft.com/en-us/kb/2677070>
[56] [CITE@en[724929 – Remove Trustwave Certificate(s) from trusted root certificates]]
([TIME[2015-04-07 11:22:03 +09:00]] 版)
<https://bugzilla.mozilla.org/show_bug.cgi?id=724929>
[57] [CITE[mozilla.dev.security.policy - Google Groups]]
([TIME[2015-04-07 11:22:12 +09:00]] 版)
<https://groups.google.com/forum/#!forum/mozilla.dev.security.policy>
[58] [CITE@en[Google Online Security Blog: Maintaining digital certificate security]]
([TIME[2015-04-07 02:44:35 +09:00]] 版)
<http://googleonlinesecurity.blogspot.jp/2015/03/maintaining-digital-certificate-security.html>
[62] [CITE[src/crypto/x509/root_unix.go - The Go Programming Language]]
([TIME[2015-04-16 18:33:59 +09:00]] 版)
<https://golang.org/src/crypto/x509/root_unix.go>
[69] [CITE@ja[Certificate pinningの実装におけるPrivate trust anchorの判定について調べてみる - ももいろテクノロジー]]
([TIME[2015-06-06 22:08:32 +09:00]] 版)
<http://inaz2.hatenablog.com/entry/2015/02/25/024431>
[FIG(quote)[
[FIGCAPTION[
[70] [CITE[Security FAQ - The Chromium Projects]]
([TIME[2015-06-06 06:30:25 +09:00]] 版)
<http://www.chromium.org/Home/chromium-security/security-faq#TOC-How-does-key-pinning-interact-with-local-proxies-and-filters->
]FIGCAPTION]
> To enable certificate chain validation, Chrome has access to two stores of trust anchors: certificates that are empowered as issuers. One trust anchor store is the system or public trust anchor store, and the other other is the local or private trust anchor store. The public store is provided as part of the operating system, and intended to authenticate public internet servers. The private store contains certificates installed by the user or the administrator of the client machine. Private intranet servers should authenticate themselves with certificates issued by a private trust anchor.
> Chrome’s key pinning feature is a strong form of web site authentication that requires a web server’s certificate chain not only to be valid and to chain to a known-good trust anchor, but also that at least one of the public keys in the certificate chain is known to be valid for the particular site the user is visiting. This is a good defense against the risk that any trust anchor can authenticate any web site, even if not intended by the site owner: if an otherwise-valid chain does not include a known pinned key (“pin”), Chrome will reject it because it was not issued in accordance with the site operator’s expectations.
]FIG]
[71] [CITE[Using SSL to Encrypt a Connection to a DB Instance - Amazon Relational Database Service]]
([TIME[2015-08-20 07:02:28 +09:00]] 版)
<http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html>
[74] [CITE@ja[Equifax 1024 ビットルート証明書への信頼が打ち切られます | Firefox サイト互換性情報]]
([TIME[2015-11-05 06:12:09 +09:00]] 版)
<https://www.fxsitecompat.com/ja/docs/2015/equifax-1024-bit-root-certificate-will-no-longer-be-trusted/>
[75] [CITE@ja[Apple、独自のルート証明書をインストールするiOSアプリをApp Storeから削除 | スラド アップル]]
([TIME[2015-11-06 23:55:57 +09:00]] 版)
<http://apple.srad.jp/story/15/10/11/0442228/>
[76] [CITE@ja[Symantec、google.comなどのテスト証明書を手違いで無断発行 | スラド セキュリティ]]
([TIME[2015-11-07 00:00:52 +09:00]] 版)
<http://security.srad.jp/story/15/11/02/0631200/>
[77] [CITE@en[Blogs - 日本のセキュリティチーム - Site Home - TechNet Blogs]]
([TIME[2015-11-07 00:11:23 +09:00]] 版)
<http://blogs.technet.com/b/jpsecurity/archive/2013/06/12/3578245.aspx>
[78] [CITE@ja[DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か - ITmedia エンタープライズ]]
([TIME[2015-11-24 12:00:31 +09:00]] 版)
<http://www.itmedia.co.jp/enterprise/articles/1511/24/news048.html>
[FIG(quote)[
[FIGCAPTION[
[85] [CITE@en[gecko-dev/NSSCertDBTrustDomain.cpp at master · mozilla/gecko-dev]]
( ([TIME[2016-05-10 23:05:50 +09:00]]))
<https://github.com/mozilla/gecko-dev/blob/master/security/certverifier/NSSCertDBTrustDomain.cpp>
]FIGCAPTION]
> WhitelistedCNNICHashBinarySearchComparator
]FIG]
[FIG(quote)[
[FIGCAPTION[
[86] [CITE@ja[SBI証券(旧SBIイー・トレード証券)-オンライントレードで株式・投資信託・債券を-]]
([TIME[2016-09-06 12:07:14 +09:00]])
<https://www.sbisec.co.jp/ETGate/WPLETmgR001Control?OutSide=on&getFlg=on&burl=search_home&cat1=home&cat2=none&dir=info&file=home_info160823.html>
]FIGCAPTION]
> SBI証券では、SBI証券のWEBサイトをより安全にご利用いただけるよう、WEBサイトの正当性を確認する手段として「EV SSL証明書」を採用しておりますが、「EV SSL証明書」には期限があることから、この更新を随時行っております。
> 一部のお客さまより、「EV SSL証明書」が認証できる状態になっていないことにより当社WEBサイトの一部のページが表示されないなどお問い合わせをいただいていることから、「EV SSL証明書」の状態の確認の方法、並びに、認証できる状態にするための対処の手順をご案内させていただきます。
]FIG]
[87] >>86 わけのわからないことを言っているが、[[証明書]]を更新した結果、古い環境だと[[ルート証明書]]が入っていなくてエラーになる、という意味らしい。
しかしこのお知らせを [[HTTPS]] で提供してもエラーになっている人には読めないのでは・・・。
[FIG(quote)[
[FIGCAPTION[
[88] [CITE@ja[証明書の不正発行や日付改ざんを行っていた認証局「WoSign」、Firefoxが同社による証明書をブロックへ | スラド セキュリティ]]
([TIME[2016-10-05 16:17:21 +09:00]])
<http://security.srad.jp/story/16/10/04/0653200/>
]FIGCAPTION]
> 先日、中国大手SSL認証局「WoSign」で不正に証明書を取得できてしまう問題が明らかになったが、これを受けてFirefoxが同社の発行した証明書をブロックする方針を固めたようだ(GIGAZINE、Threatpost)。
]FIG]
[89] [CITE@en[870185 – Add Renewed Japanese Government Application CA Root certificate]]
([TIME[2017-02-04 13:57:49 +09:00]])
<https://bugzilla.mozilla.org/show_bug.cgi?id=870185>
[90] [CITE[Symantec CA Response to Google Proposal and Community Feedback | Symantec Connect Community]]
([TIME[2017-05-02 18:22:32 +09:00]])
<https://www.symantec.com/connect/blogs/symantec-ca-proposal>