はじめまして
標記の件につきまして、ご教示願います。
以下のURLの解説において、
http://itpro.nikkeibp.co.jp/article/COLUMN/20071 …
クライアントには,「サーバー証明書」と「ルート認証局の自己証明書」が一緒に送られてくる。パソコンの中にもともと入っている証明書を使ってルート認証局の自己証明書の正当性をチェックし,その後,サーバー証明書の正当性をチェックする。という記述のなかで、
パソコンの中にもともと入っている証明書を使ってルート認証局の自己証明書の正当性をチェック
すると記載しておりますが、サーバから送られてくる「ルート証明局の自己証明書」とクライアント側
にもともと入っている証明書を使って正当性はどのようにチェックしているのでしょうか?
宜しくお願いいたします。
No.1ベストアンサー
- 回答日時:
ITproの説明が少し間違ってますね。
サーバが送ってくるのは、
「ルート認証局の自己証明書」では無くて、
「ルート認証局の自己証明書+中間認証局の証明書」です。
apacheで言えば、SSLCertificateChainFileに設定した内容です。
(SSLCACertificateFileでは無いですよ)
中間認証局が無ければルート証明書だけになるので、それでカンチガイしているのでしょう。
原則としては、サーバが送ってくる認証局の証明書を正当と見なすことはしません。
サーバが不正を目的としているならば、サーバ証明書も、それを発行した認証局の証明書も信用できません。
なので、サーバが送ってきた「ルート認証局の自己証明書」を正当性チェックしたりしません。
ただし、サーバ証明書の正当性チェックのための参考にはします。
では、どうやって正当性チェックを行っているかと言うと・・・。
(以下、WindowsでIEの場合で説明します)
まず、どこかのSSLサイトを開いて、サーバ証明書を表示してください。
「詳細」タブをクリックして、その中の「機関キー識別子」を見てください。
続けてIEのメニューバーから、ツール → インターネットオプション → コンテンツタブ → 証明書ボタン → 信頼されたルート証明機関 を開きます。
ここに表示されているのが、「パソコンの中にもともと入っている証明書」です。
サーバ証明書の機関キー識別子と、信頼されたルート証明機関の中から機関キー識別子が、一致する証明書を探し出します。
ブラウザは、この機関キー識別子が一致した証明書を “サーバ証明書を発行した認証局の証明書” と見なします。
で、その認証局の証明書に入ってる公開鍵を使ってサーバ証明書の署名を確認し、正しければ “正当である” と判断するワケです。
サーバ証明書が中間認証局から発行されている場合、その中間認証局の証明書は 「パソコンの中にもともと入って “いない” 証明書」 ですので、上記のチェックは失敗します。
ここで、先に書いた「ルート認証局の自己証明書+中間認証局の証明書」が必要になってきます。
サーバ証明書と一緒にこれらの証明書を送ることで、ブラウザは サーバ証明書 → 中間認証局 → ルート認証局 にたどり着くことができるワケです。
ただし、正当性チェックはあくまでも「パソコンの中にもともと入っている証明書」で行われ、サーバが送ってきたルート証明書は使用しません。
以上です。
この回答への補足
kadusaya2・・・様
非常に丁寧なご回答ありがとうございます。
以下 質問をさせてください。
1.
その認証局の証明書に入ってる公開鍵を使ってサーバ証明書の署名を確認し・・・
Q1
サーバから送られるルート証明書は、あくまでもキー識別子を確認するためだけに照合され
一致したら、パソコンに入っている公開鍵を用いるのでしょうか?
上記があっているという認識で、もともとパソコンに入っているルート認証局証明書の公開鍵はどのようにとりだすのでしょうか?
2.
サーバ証明書と一緒にこれらの証明書を送ることで、ブラウザは サーバ証明書 → 中間認証局 → ルート認証局 にたどり着くことができるワケです。
Q2
ルート認証局の公開鍵を取り出し、それを用いて中間認証局の公開鍵を取り出しさらにサーバ証明書
に含まれている公開鍵を取り出すという順番ではないのでしょうか?
以上 宜しくおねがいいたします。
No.2
- 回答日時:
> その確認方法は簡単だ。
(中略)一致するかを確認し,> 一致したら受信した証明書は信頼できると判断する。
と,質問文にあったリンク先に書かれています。
何が一致するのか,というと,それはハッシュ値(拇印)でしょう。
http://oshiete.goo.ne.jp/qa/5127755.html の私の過去の回答ANo.1~ANo.3
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- 確定申告 確定申告について 4 2023/02/09 16:13
- その他(教育・科学・学問) 英文校正についての質問 1 2022/06/14 14:58
- 人事・法務・広報 扶養認定の事業者の証明について 5 2022/09/08 22:35
- 戸籍・住民票・身分証明書 マイナンバーカードの更新について教えてくださいな マイナンバーカード更新の時期が来たので携帯で済ませ 2 2023/07/31 01:47
- 大学受験 AO、総合型選抜出願時に使用する活動実績報告書について 4 2022/06/27 01:21
- 戸籍・住民票・身分証明書 マイナンバーカードの有効期限と、電子証明書の有効期限について 1 2022/05/25 19:42
- ハローワーク・職業安定所 再就職手当支給申請にかかる証明書について 1 2022/03/31 23:37
- 自動車ローン・自動車保険・車両保険 『自賠責保険』の件 2 2022/10/25 09:14
- ハローワーク・職業安定所 入社約一ヶ月が経ち、入社初日に依頼した再就職手当申請書、保育園就労証明書の記入状況確認したら全く記入 6 2022/07/23 08:00
- その他(悩み相談・人生相談) 主人の行動がどうしても許さない どちらの言い分が正しい? 年末調整で私の給与証明書が必要らしく 私が 11 2022/10/21 15:12
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
富士山麓にオウム鳴く?
-
関西(大阪)から尾瀬に電車、...
-
Googleドライブをクイックアク...
-
nslookup時のDNSサーバのタイム...
-
昼休みに来る人ってどういう神...
-
SDカードに取り込んだ音楽の...
-
2ルート2+2って2ルート2+2ル...
-
携帯番号はアクセスサイト先に...
-
車で大阪から高知への最短コー...
-
再度「経路」、「ルート」の使...
-
零細性って何ですか? 過多性っ...
-
ワードで式を書く時に、ルート...
-
横浜駅から200KmのJR駅は
-
Cドライブ直下に、ファイル等を...
-
√6のようなルートを少数に直す...
-
ノートパソコンにHDDアクセスラ...
-
エクセルでルートの上の棒を長...
-
定期券で途中で降りたらお金取...
-
一方通行や右左折禁止のわかる...
-
しまなみ海道途中でUターン
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
富士山麓にオウム鳴く?
-
Googleドライブをクイックアク...
-
関西(大阪)から尾瀬に電車、...
-
横浜駅から200KmのJR駅は
-
SDカードに取り込んだ音楽の...
-
定期券で途中で降りたらお金取...
-
√96の解き方
-
通勤経路をわざわざ遠いところ...
-
Cドライブ直下に、ファイル等を...
-
googlemapで最寄駅を調べる方法
-
ルート50の解き方
-
京都から名古屋: 一般道での走...
-
Googleマップのルートを手動で...
-
√6のようなルートを少数に直す...
-
一方通行や右左折禁止のわかる...
-
昼休みに来る人ってどういう神...
-
自宅から最寄りの駅までの地図...
-
google mapでのルート検索を良...
-
nslookup時のDNSサーバのタイム...
-
ノートパソコンにHDDアクセスラ...
おすすめ情報