ルート証明書の更新機能について

Question

WindowsXP以降ルート証明書の更新機能が追加され、WindowsUpdate(Microsoft Update)でルート証明書が更新されるようになっていますが、更新されるのはルート証明書のみで中間証明書は更新されないという認識であっているかご存知の方がいらっしゃいましたらご教示を頂けますようお願い致します。

kadusaya2 · Accepted Answer

ご認識の通りで正しいです。

Windows VISTAと7ではOS出荷時にルート証明書は空の状態で、必要に迫られた時にWindows Updateでルート証明書が読み込まれる仕組みになっていました。
しかし、Windows 8からは以前と同じくOS出荷時にある程度のルート証明書がインストールされた状態になっています。
理由はわかりませんが、何かしらの問題があったのでしょう。

中間証明書は、エンドエンティティ証明書が使われるときに更新されます。

例えばSSLサーバー証明書であれば、ApacheのSSL.confのSSLCertificateChainFileで指定されたものが使用されます。
中間認証局からSSLサーバー証明書が発行されている場合、基になっているルート証明書がWindows Updateで読み込まれていたとしても、SSLCertificateChainFileで中間証明書が指定されてなければ不正な証明書として弾かれてしまいます。

順番として、
1.SSLサーバーにアクセスします。
2.サーバーからSSLサーバー証明書と中間証明書を受け取ります。
3.VISTAではこの時にWindows Updateでルート証明書が取り込まれます。
4.中間証明書を発行したルート証明書が検証され、OKなら受け取った中間証明書が信頼できるものとして登録されます。
5.続けてSSLサーバー証明書が正しく中間認証局から発行されているのかが確認されます。
6.すべてOKならSSLサーバー証明書が正しいと解釈されます。

ちなみにIISであれ、その他のWEBサーバーであれ、SSLCertificateChainFileに該当する設定があり、そこに中間証明書を設定しなければクライアント側はルート証明書にはたどり着けません。

以上です。

lupin-333333 · Answer

まず

https://www.google.co.jp/search?hl=ja&q=MicrosoftUpdate+%E3%83%89%E3%83%A9%E3%82%A4%E3%83%90%E3%83%BC%E6%9B%B4%E6%96%B0%E3%80%80%E7%94%B3%E8%AB%8B&lr=lang_ja

で検索してみてください。

http://msdn.microsoft.com/ja-jp/library/windows/hardware/gg487434.aspx

とか

http://www.microsoft.com/ja-jp/download/details.aspx?id=30701

などとなります。つまり申請は、提供者がここに行う物です。もちろん建前ですが。で中間証明書は誰が提供していますか？　その提供者に問い合わせるのが、筋と言う物だと思いますが、いかかでしょう。マイクロソフトが勝手に、どこかの証明書を配布するなんてことはありません。申請されて、ルート（配布手順）に乗せる。第一提供者が提出品限り、物はありませんよね。

それとも偽造された物が配布された？　と言うことでしょうか？

次に

https://www.google.co.jp/search?lr=lang_ja&hl=ja&tbs=lr%3Alang_1ja&sclient=psy-ab&q=OpenSSL+%E4%B8%AD%E9%96%93%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%80%80%E3%83%AB%E3%83%BC%E3%83%88%E8%A8%BC%E6%98%8E%E6%9B%B8%E5%8F%96%E3%82%8A%E5%87%BA%E3%81%97&btnG=

なんて検索してみましょう。

https://www.verisign.co.jp/ssl/help/install/iis_intca.html

https://jp.globalsign.com/support/faq/07.html

なんて記事が見つかります。２つめのコメントにありますようんに、中間証明書等の階層になっているものは、その上位も含まれています。

他にも

https://www.verisign.co.jp/ssl/help/install/iapache_new_intca_s.html

https://www.verisign.co.jp/ssl/help/faq/110006/

https://www.verisign.co.jp/ssl/help/faq/110089/

などがあります。逆に言えば、申請者が、これと、これは世界配布となれば、配布されます。これはドライバーでも証明書でも何でも一緒です。

ちなみにですが、ＰＫＩなど、おおよそＯＳがデフォルトで提供しているもので、中間証明書が必要であれば（動作しているサービスとかアプリで）、最初から設置されています（ドライバーなどマイクロソフト製品のファイルをみれば署名に、自己証明があります＜＝マイクロソフトが発行した証明書。その中には階層がある証明書も）？

そうなんです、ＯＳの根幹にすべてルート証明書がかかわっています（中間証明書も）。すべてのルート証明書を削除したら、ＯＳは起動できなくなります。デフォルトで付属する物は、昔からある有名な発行会社及び、ＯＳが使用している物だけで、それ以外は提供されません。

個別案件は、マイクロソフトでは提供していません。というより無理でしょう。申請があって、審査してルートに載せると言う手順です。提供者側に問い合わせてください。

ルート証明書の更新機能について

まず

ご認識の通りで正しいです。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング