WindowsにおいてのSSL通信の仕組みについて

Question

HTTPSサーバーにアクセスした場合、第三者証明機関は中間証明書とサーバー証明書が
渡すという話をしており、ほかの者に確認したら、中間証明書とサーバー証明書は
クライアントに渡すことはなく、渡していたら、オレオレ詐欺みたいに偽ることが
できてしまうので、CA証明書と中間証明書はOSに入っているという話をしています。

どちらが本当のことを言っているのか確認しようと思い、以下のことを行いました。

WindowsVistaを新規インストールした状態で確認したところ、IEの「信頼されたルート証明機関」
及び「中間証明機関」にベリサインなどのいくつかの証明書が入っていました。
その状態でセコムのサイトにアクセスしたら、セコムのCA証明書が「信頼されたルート証明機関」
に入っており、パス検証は問題ありませんでした。
WindowsVistaを新規インストールした状態では、セコムのCA証明書、中間証明書は入って
いませんでしたので、セコムのCA証明書がセコムのサイトにアクセスした際にインストールされたのは
間違いありません。セコムの中間証明書はIEの「中間証明機関」に入っていませんでした。

この時点でCA証明書はOSに入っているという話をされている者が間違っていることが確認できました。
CA証明書にも無論　有効期限があるので、ルート証明書の更新で更新されるので初めから入っているCA証明書がずっと使われるわけではありません。

＜確認を行いたい点＞
1.セコムのサイトにアクセスしたら、セコムのCA証明書が「信頼されたルート証明機関」に入ったので
これがどこからインストールされたか確認する方法はありますでしょうか。
パケットキャプチャを取得することになると思いますが、どの点に着眼すれば、それが確認できますでしょうか。

2.IEにはセコムの中間証明書は入っていないにもかかわらず、セコムのサイトにアクセスしたらパス検証は問題ありませんでした。パス検証に問題がないということは中間証明書及びサーバー証明書がHTTPSサーバー側から提示されているか、渡されているになると思いますが、どのような方法を行えば確認することができますでしょうか。
パケットキャプチャを取得することになると思いますが、どの点に着眼すれば、それが確認できますでしょうか。

takefu · Accepted Answer

ちょっと古い本ですが、以下の書籍に仕組みが詳しく書かれていました。
(図書館で見つけました)

SSL/TLS導入ガイドブック
ISBN: 4-8399-1943-7
http://honto.jp/netstore/pd-book_02628137.html

SSL/TLSによる通信のうち、HTTPS通信におけるサーバー証明書には、ルート証明書に連なるリストも一緒に入っているようです。
それが改ざんされていない事が前提ですが、サーバー証明書自体にそれらの処理が施されているので、クライアントに中間証明書を準備しておく必要はない、と解釈しました。

中間証明書に関しては詳しい記載がなかったのですが、「サーバー証明書」以外の用途(コード証明や、メールの証明)で利用する場合に必要になってくるのではないでしょうか。
HTTPS通信の場合は、「サーバー側」に中間証明書が必要なのは、#3の方が書いておられる通りです。

RootCAが勝手に入る件は、気持ち悪いと感じる部分もありますが、いわゆる「オレオレ証明書」では警告されることから、信用できる機関から信用できる情報で入手していると見て問題ないのではないでしょうか。
もちろん、そこの処理にセキュリティホールがあれば大変な事ですが。

kadusaya2 · Answer

前回の「ルート証明書の更新機能について」に回答したものです。
結局、信じてはもらえなかったってコトなのね・・・。てな愚痴は置いといて。
(^o^／／

まず 1 ですが、ご認識通りHTTPSですのでパケットキャプチャでは確認できません。
存在しない → アクセス → 存在する
という事象から推論するしか方法は無いと思います。

2 は簡単です。自分でルート認証局＋中間認証局＋SSLサーバーを立てれば確認できます。
「ルート証明書をダウンロードする」 と 「中間証明書を検証する」 は独立した処理ですので、自分で認証局を立てて あらかじめインストールしておけば 「中間証明書を検証する」 のはテストできます。

一番簡単に中間認証局を構築できるのはOpenSSLです。ルート認証局と中間認証局を構築したら、ルート証明書のみVISTAへインストールします。
中間認証局からSSLサーバー証明書を発行したらApacheに設定します。中間証明書はSSL.confのSSLCertificateChainFileです。

最初は中間証明書を入れずにアクセスしてみてください。エラーになるハズです。
次に中間証明書を設定してからアクセスすると、正常にいくハズです。

以上です。

takefu · Answer

すみません。拡張子は、.cer でした。(Certification)
当方でも確認してみました。最新パッチ適用済みでもセコムトラストさんのRootCAはなく、セコムトラストさんにアクセスしたら現れました。(パケットキャプチャはしていません)

中間証明書がクライアント上に現れない件についてはもう少し調べてみないといけませんが、SSLを使うサイトすべての中間証明書を保管しておく事は、量的にも、安全性といった面でもあまりよろしくないようですね。
(個別にインストールする事は可能ですが)

あと、パケットキャプチャで中身が分かるものであれば、改ざんも可能なわけで、簡単に見つけられるものではないのではないでしょうか。

専門家ではないのですが、気になるのでもう少し調べてみます。

takefu · Answer

https://www.verisign.co.jp/ssl/help/faq/110116/
> 一部環境の Internet Explorer は、自動的に必要な中間CA証明書をダウンロードする機能を持っています。
> このため、Internet Explorerの環境によっては中間CA証明書がインストールされていなくても警告が表示されないことがあります。
> 中間CA証明書は、必ずウェブサーバにインストールしてください。

中間CA証明書は、RootCA証明書または上部中間CA証明書によって証明されているので、それが確認できれば自動でダウンロード、インストールしてしまうようですね。

証明書は、.csr 拡張子のファイルですから、それを観測すれば良いのではないでしょうか？

----
SECOMさんは、SSL認証局の事業も行ってます。
https://www.secomtrust.net/service/pfw/

http://repository.secomtrust.net/rootupdate/
上記説明によると、7までは初期インストールの状態ではRootCAが入っていないように見受けられます。
Microsoft Updateやサービスパック等で更新されているのかもしれません。

WindowsにおいてのSSL通信の仕組みについて

ちょっと古い本ですが、以下の書籍に仕組みが詳しく書かれていました。

この回答への補足

前回の「ルート証明書の更新機能について」に回答したものです。

この回答への補足

すみません。

この回答への補足

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング