- - PR -
クライアントが中間CA証明書を要求するのか否かについて
1
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2007-02-06 19:17
クライアントが中間CA証明書を要求するのか否かについて
質問させていただきます。 ある会社のセミナー資料に、以下のように記載がありました。 ------------- SSLハンドシェーク(サーバ認証)時、サーバはサーバ証明書を クライアントに対して送り、クライアントはそのサーバ証明書を 発行した中間CA局の証明書を(自身が)もっているかどうか確認し、 なければサーバに送ってもらう。 そして、サーバは要求された中間CA局の証明書を送る。 ------------- この記載内容に疑問を抱いております。 と言いますのも、世間の SSL サーバにアクセスし、パケットを 採取する限りでは、サーバはサーバ証明書をクライアントに 送るのと同時に、同一のパケットでチェーン証明書(中間CA証明書)を 送っているように見受けられたためです。 つまりクライアントが中間CA証明書を要求する、というのが本当か どうかが分からないでおります。 申し訳ありません、宜しければご教示願えませんでしょうか。 どうぞ宜しくお願い致します。 | ||||||||
|
投稿日時: 2007-02-06 19:28
こんばんは。SSL/TLSの仕様として、なのかは分かりませんが。
とありますので、少なくとも IE では、クライアント ( IE ) が既に中間CA証明書を持っている場合は、サーバで持っている中間CA証明書は無視されるか、そもそも要求されないか、となるようですね。 | ||||||||
|
投稿日時: 2007-02-06 20:10
で、やはりRFCにあたるのが確実かと思い、見てみました。
英語は苦手なので、TLS1.1(RFC4346)原文ではなく、TLS1.0(RFC2246)日本語訳でご勘弁を。( 書いてあることはほぼ同じようなので )
とありますので、クライアントが証明書を要求するわけではなく、サーバが自発的に証明書を送っていますね。 ※クライアント証明書の場合は、サーバからの要求が先に来ますが 更に、
そもそもサーバは、最初からチェインを構成している全ての証明書 ( ルートのみ省略可 ) を一辺に送りつけていますね。 以上2点から考えると、「中間CA証明書がなければ要求する」は無さそうだと思います。 [ メッセージ編集済み 編集者: angel 編集日時 2007-02-06 20:12 ] | ||||||||
|
投稿日時: 2007-02-07 00:18
それは無理だろう、に一票入れておきます。「出来る」と主張する人に 教えてもらうことになるのでしょうね。 | ||||||||
|
投稿日時: 2007-02-07 15:02
angel様
加納正和様 ご回答いただきましてありがとうございました。 十二分なご回答内容で、とても勉強になりました。 本当にありがとうございました。 今後ともどうぞ宜しくお願い致します。 | ||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。