opensslを使用してプロバイダWebサイトの中間CA証明書とルートCA証明書のダウンロードURLが何であるかを確認する方法は?
つまり、サイト証明書がRapidsslから取得したものであれば、次の場所からダウンロードできるopensslを使用してCAパスをどのように見つけることができますか? RapidSSL中間およびルートCA証明書|
答え1
これが可能であるという保証はありません。
中間証明書でいつでも発行者の身元を見つけることができ、オプションで認証キー識別子(デフォルトでは親CA証明書のシリアル番号)および/または認証情報アクセスの拡張はいまたはいいえルート証明書を指すURLが含まれています。
同様に、サイト証明書には常にオプションの拡張とともに、仲介CA(発行者)のIDが含まれています。可能中間CA証明書のシリアル番号とURLが含まれていますが、これは厳密には保証されません。
次のopensslコマンドを使用して、証明書からすべての「興味深い」情報を取得できます。
openssl x509 -noout -text -certopt no_pubkey,no_sigdump,no_header,ext_parse -nameopt multiline,show_type -in <certificate filename>
もちろん、これはかなり長くて複雑なコマンドなので、それにエイリアスを作成したいかもしれません。ほとんどの場合、学習と記憶を助けるためのより単純なバージョンで十分です。
openssl x509 -noout -text -in <certificate filename>
このコマンドの出力には、一般的に役に立たないいくつかの16進ダンプが含まれており、非常に便利な方法で新しい証明書または未知の証明書拡張を提供することはできませんが、ほとんどの目的には十分です。
チェーンを別の方法で追跡することはより困難です。ルート証明書は通常、中間証明書よりはるかに長く持続するため、ルートCA証明書が生成されたときに中間証明書のシリアル番号および/またはダウンロードURLが必ずしもわかっているわけではありません。
それにもかかわらず、証明書の信頼チェーンを正常に確認するまで、任意のサイトの証明書の情報を信頼しないでください。利便性により、サイトは中間CA証明書(いわゆる)を提供できますが、実際に確認するには、ルート証明書がすでに信頼されているルート証明書ストアに存在する必要があります。
実際、サイトまたは中間証明書で未知のCAのルートCA証明書URLを自動的に検出できない場合は、より安全になります。 Googleを介してそのCAを検索する必要があります。偽がある場合、またはCAの名前、証明書を使用している場合は、そのニュース記事を見る機会があります。
これにより、証明書とCA自体の詳細をよりよく表示し、CAが十分に信頼できるかどうかを評価できます。本質的にこれが理由です新しいルートCA証明書をインストールするときは、常に誰かが参加する必要があります。。