[35] ルート証明書は、証明書の検証の起点となる証明書 (trust anchor) です。 Webブラウザーなどの TLSクライアントは、自身 (の利用者) が信頼するルート証明書群を保持しており、それを使って TLS によって受信したサーバー証明書を検証します。
[8] Application Software Suppliers によってルート証明書が配布されると共に、 下位CA証明書を発行する最上位認証局 (CA) をルートCAといいます >>14。
[32] ルートCAが自己を識別するため、および下位CAに発行した証明書を検証させるために発行する自己署名証明書をルート証明書といいます >>14。
[64] TLS CertificateRequest
メッセージの
certificate_authorities
には、サーバーが受け付けるルートCAのDNを指定できます。
[63] TLS拡張 trusted_ca_keys
は、自身が信頼しているルートCA
に関する情報を相手に伝え、それに沿った証明書を送信することを求めるものです。
[31]
ルート証明書は、
特定目的に単独で使うこともありますが、
多くの場合証明書データベースに登録して使います。
証明書データベース中の証明書には、
それ自体の他に追加のメタデータが付与されることがあります。
[71] Using SSL to Encrypt a Connection to a DB Instance - Amazon Relational Database Service ( 版) http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html
[1] ルート証明書 - Wikipedia ( 版) http://ja.wikipedia.org/wiki/%E3%83%AB%E3%83%BC%E3%83%88%E8%A8%BC%E6%98%8E%E6%9B%B8
[11] Phasing out Certificates with 1024-bit RSA Keys | Mozilla Security Blog ( 版) https://blog.mozilla.org/security/2014/09/08/phasing-out-certificates-with-1024-bit-rsa-keys/
[15] Java環境に手動でグローバルサインのルート証明書をインストールする方法 | SSL・電子証明書ならGMOグローバルサイン ( 版) https://jp.globalsign.com/support/faq/331.html
[16] Superfishのように勝手にルート証明書をインストールするソフト、続々見つかる | スラッシュドット・ジャパン セキュリティ ( 版) http://security.slashdot.jp/story/15/02/24/0230220/
[19] JVNVU#92865923: Komodia Redirector がルート CA 証明書と秘密鍵をインストールする問題 ( 版) https://jvn.jp/vu/JVNVU92865923/
[20] CA:UserCertDB - MozillaWiki ( 版) https://wiki.mozilla.org/CA:UserCertDB
[28] Symantec/Thawte EV and Trust Bit Change Request - Google Groups ( 版) https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/Ej7n2b7NxVs
[50] An automatic updater of revoked certificates is available for Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2 ( 版) http://support.microsoft.com/en-us/kb/2677070
[56] 724929 – Remove Trustwave Certificate(s) from trusted root certificates ( 版) https://bugzilla.mozilla.org/show_bug.cgi?id=724929
[57] mozilla.dev.security.policy - Google Groups ( 版) https://groups.google.com/forum/#!forum/mozilla.dev.security.policy
[58] Google Online Security Blog: Maintaining digital certificate security ( 版) http://googleonlinesecurity.blogspot.jp/2015/03/maintaining-digital-certificate-security.html
[75] Apple、独自のルート証明書をインストールするiOSアプリをApp Storeから削除 | スラド アップル ( 版) http://apple.srad.jp/story/15/10/11/0442228/
[76] Symantec、google.comなどのテスト証明書を手違いで無断発行 | スラド セキュリティ ( 版) http://security.srad.jp/story/15/11/02/0631200/
[77] Blogs - 日本のセキュリティチーム - Site Home - TechNet Blogs ( 版) http://blogs.technet.com/b/jpsecurity/archive/2013/06/12/3578245.aspx
[78] DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か - ITmedia エンタープライズ ( 版) http://www.itmedia.co.jp/enterprise/articles/1511/24/news048.html
[87] >>86 わけのわからないことを言っているが、証明書を更新した結果、古い環境だとルート証明書が入っていなくてエラーになる、という意味らしい。 しかしこのお知らせを HTTPS で提供してもエラーになっている人には読めないのでは・・・。
[89] 870185 – Add Renewed Japanese Government Application CA Root certificate () https://bugzilla.mozilla.org/show_bug.cgi?id=870185
[90] Symantec CA Response to Google Proposal and Community Feedback | Symantec Connect Community () https://www.symantec.com/connect/blogs/symantec-ca-proposal
[91] 2016年10月21日以降に発行されたStartSSLの無料証明書は無効 - Qiita () http://qiita.com/imfiare/items/035b4d9f2e19b8f8863d
[92] Google、Chrome 61以降でWoSignの証明書をブロックへ | スラド セキュリティ () https://security.srad.jp/story/17/07/14/0656225/
[93] SymantecがSSL証明書関連事業を売却へ | スラド セキュリティ () https://security.srad.jp/story/17/08/07/0932242/
[94] 870185 - Add Renewed Japanese Government Application CA Root certificate () https://bugzilla.mozilla.org/show_bug.cgi?id=870185
[95] Google Online Security Blog: Chrome’s Plan to Distrust Symantec Certificates () https://security.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html
[96] Google グループ () https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/eUAKwjihhBs%5B251-275%5D
[97] CA:Symantec Issues - MozillaWiki () https://wiki.mozilla.org/CA:Symantec_Issues
[98] 【FAQ】Google ChromeによるSSLサーバ証明書の警告/エラー表示と回避方法について | GeoTrust () https://knowledge.geotrust.com/jp/support/knowledge-base/index?vproductcat=G&vdomain=GEOTRUST_JP&page=content&id=SO29554&actp=search&viewlocale=ja_JP&searchid=1499743996505&locale=ja_JP&redirected=true
[99] シマンテック社SSL証明書に関する再発行対応期限の変更について – さくらのサポート情報 () https://help.sakura.ad.jp/hc/ja/articles/115000130522
[100] Statement on DigiCert’s Proposed Purchase of Symantec’s CA | Mozilla Security Blog () https://blog.mozilla.org/security/2017/10/31/statement-digicerts-proposed-purchase-symantec/
[101] Mozilla Releases Version 2.5 of Root Store Policy | Mozilla Security Blog () https://blog.mozilla.org/security/2017/09/07/mozilla-releases-version-2-5-root-store-policy/
[102] Google Chromeの実験的ビルド「Canary」でSymantecの証明書が無効化される | スラド セキュリティ () https://security.srad.jp/story/18/02/07/0646241/
[103] SSL/TLS証明書再販業者Trustico、メールで顧客の秘密鍵を送りつけて強制的に証明書を失効させる暴挙 | スラド セキュリティ () https://security.srad.jp/story/18/03/05/149258/
[104] Deprecations and removals in Chrome 65 | Web | Google Developers () https://developers.google.com/web/updates/2018/02/chrome-65-deprecations
[105] 823665 - please remove trust of GPKIRootCA1 root certificate or sub-ca - chromium - Monorail () https://bugs.chromium.org/p/chromium/issues/detail?id=823665
[106] Distrust of Symantec TLS Certificates | Mozilla Security Blog () https://blog.mozilla.org/security/2018/03/12/distrust-symantec-tls-certificates/
[107] Firefox 64リリース、シマンテックの証明書が無効に | スラド セキュリティ () https://security.srad.jp/story/18/12/13/0528216/
[108] Mozilla、Google、Appleがカザフスタン政府によるWebブラウザ経由のスパイ行為をブロック - ITmedia NEWS () https://www.itmedia.co.jp/news/articles/1908/22/news061.html
[2] Let's Encrypt証明書を使用しているWebサイト、Android 7.1以前の端末での閲覧に影響か | スラド () https://srad.jp/story/20/08/11/0411203/
[3] カザフスタン政府発行のルート証明書、中間者攻撃が判明して各社ブラウザーにブロックされる | スラド セキュリティ () https://security.srad.jp/story/20/12/20/1959212/
[4] 1680927 - MITM in Kazakhstan () https://bugzilla.mozilla.org/show_bug.cgi?id=1680927
[5] Continuing to Protect our Users in Kazakhstan - Open Policy & Advocacy () https://blog.mozilla.org/netpolicy/2020/12/18/kazakhstan-root-2020/
[6] 2020年末に期限切れになるルート証明書。「削除しないで」とMicrosoft - PC Watch (株式会社インプレス, ) https://pc.watch.impress.co.jp/docs/news/1297082.html
[7] Let's Encryptの9月末のルートCA証明書期限切れ、複数サイトで影響発生 | スラド IT () https://it.srad.jp/story/21/10/06/2331232/
[12] 【修正済み】2021年9月30日ごろより引用スターが追加できなくなる不具合が発生しています - はてなブログ開発ブログ, https://staff.hatenablog.com/entry/2021/10/05/115141
はてなブログは Let's Encrypt 証明書だから、これもそれでしょうね。
[13] ロシアが独自のTLS認証局を創設、主要ウェブブラウザベンダーの審査通過は難しいとの見方も | スラド セキュリティ () https://security.srad.jp/story/22/03/14/1536257/
[17] 昭和の時計とソ連の時計さんはTwitterを使っています: 「ロシアのサイトは経済制裁で西側の認証局が使えず、最近はロシア独自の証明書を利用しているので、ブラウザが「警告: 潜在的なセキュリティリスクあり」を連発してくれる(笑)。初めて踏むURLだと、マジ怖いんですけど。笑 全部プーチンが悪い💢 https://t.co/o49tAGgGnF」 / X, , https://twitter.com/Boctok_99/status/1688381901659353088
[18] 改竄されているか検知できないということだから、初めてでも2度目でも100度目でも怖いぞ。 慣れたときほど怖いぞ。
[26] >>24 >>25 ブラジル政府のルート証明書の配布サイト。
[29] 例えば >>27 がブラジル政府のルート証明書を使っていて、 Windows の Chrome でも Mozilla のデータベース でも証明書エラーになって表示できない。