- - PR -
クライアントが中間CA証明書を要求するのか否かについて
1
投稿者 | 投稿内容 | ||||||||
---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2007-02-06 19:17
クライアントが中間CA証明書を要求するのか否かについて
質問させていただきます。 ある会社のセミナー資料に、以下のように記載がありました。 ------------- SSLハンドシェーク(サーバ認証)時、サーバはサーバ証明書を クライアントに対して送り、クライアントはそのサーバ証明書を 発行した中間CA局の証明書を(自身が)もっているかどうか確認し、 なければサーバに送ってもらう。 そして、サーバは要求された中間CA局の証明書を送る。 ------------- この記載内容に疑問を抱いております。 と言いますのも、世間の SSL サーバにアクセスし、パケットを 採取する限りでは、サーバはサーバ証明書をクライアントに 送るのと同時に、同一のパケットでチェーン証明書(中間CA証明書)を 送っているように見受けられたためです。 つまりクライアントが中間CA証明書を要求する、というのが本当か どうかが分からないでおります。 申し訳ありません、宜しければご教示願えませんでしょうか。 どうぞ宜しくお願い致します。 | ||||||||
|
投稿日時: 2007-02-06 19:28
こんばんは。SSL/TLSの仕様として、なのかは分かりませんが。
とありますので、少なくとも IE では、クライアント ( IE ) が既に中間CA証明書を持っている場合は、サーバで持っている中間CA証明書は無視されるか、そもそも要求されないか、となるようですね。 | ||||||||
|
投稿日時: 2007-02-06 20:10
で、やはりRFCにあたるのが確実かと思い、見てみました。
英語は苦手なので、TLS1.1(RFC4346)原文ではなく、TLS1.0(RFC2246)日本語訳でご勘弁を。( 書いてあることはほぼ同じようなので )
とありますので、クライアントが証明書を要求するわけではなく、サーバが自発的に証明書を送っていますね。 ※クライアント証明書の場合は、サーバからの要求が先に来ますが 更に、
そもそもサーバは、最初からチェインを構成している全ての証明書 ( ルートのみ省略可 ) を一辺に送りつけていますね。 以上2点から考えると、「中間CA証明書がなければ要求する」は無さそうだと思います。 [ メッセージ編集済み 編集者: angel 編集日時 2007-02-06 20:12 ] | ||||||||
|
投稿日時: 2007-02-07 00:18
それは無理だろう、に一票入れておきます。「出来る」と主張する人に 教えてもらうことになるのでしょうね。 | ||||||||
|
投稿日時: 2007-02-07 15:02
angel様
加納正和様 ご回答いただきましてありがとうございました。 十二分なご回答内容で、とても勉強になりました。 本当にありがとうございました。 今後ともどうぞ宜しくお願い致します。 |
1