適切に設定されたHTTPSウェブサイトは、証明書に完全な証明書チェーンを含めるべきです。 例えば、openssl s_client -connect www.wosign.com:443 コマンドを使って、Wosignのウェブサイト設定を閲覧できます。 その他の内容は無視しても構いません。証明書のチェーン段落を見てください: --- 証明書チェーン 0 s:/1.3.6.1.4.1.311.60.2.1.3=CN/1.3.6.1.4.1.311.60.2.1.2=Guangdong/1.3.6.1.4.1.311.60.2.1.1=Shenzhen/businessCategory=Private 組織/シリアルナンバー=440301103308619/C=CN/ST=\xE5\xB9\xBF\xE4\xB8\x9C\xE7\x9C\x81/L=\xE6\xB7\xB1\xE5\x9C\xB3\xE5\xB8\x82/postalCode=518067/street=\xE6\xB7\xB1\ xE5\x9C\xB3\xE5\xB8\x82\xE5\x8D\x97\xE5\xB1\xB1\xE5\x8C\xBA\xE5\x8D\x97\xE6\xB5\xB7\xE5\xA4\xA7\xE9\x81\x931057\xE5\x8F\xB7\xE7\xA7\xA7\x91\xE6\x8A\x80\xE5\xA4\xA7\xE5\xA7\xE5\ x8E\xA6\xE4\xBA\x8C\xE6\x9C\x9FA\xE6\xA0\x8B502#/O=WoSign\xE6\xB2\x83\xE9\x80\x9A\xE7\x94\xB5\xE5\xAD\x90\xE8\xAE\xA4\xE8\xAF\x81\xE6\x9C\x8D\xE5\x8A\xA1\xE6\x9C\x89\ xE9\x99\x90\xE5\x85\xAC\xE5\x8F\xB8/CN=www.wosign.com i:/C=CN/O=WoSign CA Limited/CN=WoSign Class 4 EV Server CA 1 s:/C=CN/O=WoSign CA Limited/CN=WoSign Class 4 EV Server CA i:/C=CN/O=WoSign CA Limited/CN=WoSignの認証機関 2 s:/C=CN/O=WoSign CA Limited/CN=WoSignの認証機関 i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom認証機関 ---
しかし、ウェブサイトがCRTファイル内に自分自身のみを含み、ブラウザの組み込みデータで検証可能な証明書チェーンを含まない場合、ブラウザによって拒否される可能性があります。 たとえば OpenSSL s_client -Connect touko.moe:443 --- 証明書チェーン 0 s:/CN=touko.moe i:/C=CN/O=WoSign CA Limited/CN=WoSign CA Free SSL Certificate G2 --- 1つのグループには0人しかいない。 説明 s行のtouko.moeは、i行でWoSign CA Free SSL証明書G2によって発行されています。 行ってしまいました。
この落とし穴で最も驚くべき点は、この時点でブラウザが検証を怠っているかどうかが必ずしも正しいわけではないということです。 状況は2つあります: A. ブラウザをインストールして以来、こんな現象は一度も見たことがありません。 その後、検証は失敗します。 B. ブラウザが以前にiを見て検証している場合、その認証は成功します。
掲載地 2017/08/15 21:08:39
|
|
|
