ルートCA

ルート証明書 (PKI)

[35] ルート証明書 (root certificate) は、証明書の検証の起点となる証明書 (trust anchor) です。 Webブラウザーなどの TLSクライアントは、自身 (の利用者) が信頼するルート証明書群を保持しており、それを使って TLS によって受信したサーバー証明書を検証します。

[60] 末端実体証明書の検証にはルート証明書の他に中間証明書も必要ですが、 TLS では末端実体証明書と共に中間証明書もすべて送信することになっていますから、 Webブラウザーが予め保持しておく必要があるのはルート証明書だけです。

仕様書

ルートCA

[8] Application Software Suppliers によってルート証明書が配布されると共に、 下位CA証明書発行する最上位認証局 (CA) をルートCA (Root CA) といいます >>14

[33] BRルートCAに対する要件を定めています。

ルート証明書

[32] ルートCAが自己を識別するため、および下位CA発行した証明書検証 (verify) させるために発行する自己署名証明書ルート証明書 (Root Certificate) といいます >>14

[34] BRルート証明書に対する要件を定めています。 次のものはルート証明書に関する規定があります。

ルートCAの指定

[64] TLS CertificateRequest メッセージcertificate_authorities には、サーバーが受け付けるルートCADNを指定できます。

[63] TLS拡張 trusted_ca_keys は、自身が信頼しているルートCA に関する情報を相手に伝え、それに沿った証明書を送信することを求めるものです。

証明書データベース

[31] ルート証明書は、 特定目的に単独で使うこともありますが、 多くの場合証明書データベースに登録して使います。 証明書データベース中の証明書には、 それ自体の他に追加のメタデータが付与されることがあります。 証明書データベース

ルート証明書採用ポリシー

証明書データベース

相互運用性

証明書データベース

ルート証明書の追加

証明書データベース

クラウドサービス事業者の独自ルート証明書

[71] Using SSL to Encrypt a Connection to a DB Instance - Amazon Relational Database Service ( 版) http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html

セキュリティー

[73] 証明書データベースのセキュリティーの項を参照。

メモ

[1] ルート証明書 - Wikipedia ( 版) http://ja.wikipedia.org/wiki/%E3%83%AB%E3%83%BC%E3%83%88%E8%A8%BC%E6%98%8E%E6%9B%B8

[9] ダウンロードコーナーのご利用に当たって【事前準備】|e-Tax (国税庁 著, 版) https://www.e-tax.nta.go.jp/download/index.htm

e-Taxのご利用に当たっては、ご使用のパソコンに政府共用認証局(官職認証局)と政府共用認証局(アプリケーション認証局2)のルート証明書・中間証明書をインストールする必要があります

[10] 中国ネット管理機関、ルート証明書に関するグーグル決定非難 | テクノロジーニュース | Reuters ( 著, 版) http://jp.reuters.com/article/technologyNews/idJPKBN0MT0OQ20150402

CNNICのルート証明書をこれ以上認識しないと決定したことについて「理解できず、受け入れられない」と表明した。

[11] Phasing out Certificates with 1024-bit RSA Keys | Mozilla Security Blog ( 版) https://blog.mozilla.org/security/2014/09/08/phasing-out-certificates-with-1024-bit-rsa-keys/

[15] Java環境に手動でグローバルサインのルート証明書をインストールする方法 | SSL・電子証明書ならGMOグローバルサイン ( 版) https://jp.globalsign.com/support/faq/331.html

[16] Superfishのように勝手にルート証明書をインストールするソフト、続々見つかる | スラッシュドット・ジャパン セキュリティ ( 版) http://security.slashdot.jp/story/15/02/24/0230220/

[19] JVNVU#92865923: Komodia Redirector がルート CA 証明書と秘密鍵をインストールする問題 ( 版) https://jvn.jp/vu/JVNVU92865923/

[20] CA:UserCertDB - MozillaWiki ( 版) https://wiki.mozilla.org/CA:UserCertDB

[21] ルート証明書について - 福井大学総合情報基盤センター ( 版) http://www.cii.u-fukui.ac.jp/service/cert.html

総合情報基盤センターでは、情報システム切り替えに伴い、例えばメールサーバなどでSSLを用い通信を保護した設定にするなど、セキュリティ面の強化を行っております。

大学のルート証明書をインポート(インストール)していない場合、SSLを使用した学内の各種サーバへのアクセスにおいて、警告が表示されるようになります。

そこで、以下のルート証明書のインポート(インストール)をお願いいたします。

<発行者>

RootCertification Authority,

Center for Information Initiative,

UNIVERSITY OF FUKUI,

JP

<有効期間>

2012/01/12~2018/03/31

[28] Symantec/Thawte EV and Trust Bit Change Request - Google Groups ( 版) https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/Ej7n2b7NxVs

[50] An automatic updater of revoked certificates is available for Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2 ( 版) http://support.microsoft.com/en-us/kb/2677070

[56] 724929 – Remove Trustwave Certificate(s) from trusted root certificates ( 版) https://bugzilla.mozilla.org/show_bug.cgi?id=724929

[57] mozilla.dev.security.policy - Google Groups ( 版) https://groups.google.com/forum/#!forum/mozilla.dev.security.policy

[58] Google Online Security Blog: Maintaining digital certificate security ( 版) http://googleonlinesecurity.blogspot.jp/2015/03/maintaining-digital-certificate-security.html

[75] Apple、独自のルート証明書をインストールするiOSアプリをApp Storeから削除 | スラド アップル ( 版) http://apple.srad.jp/story/15/10/11/0442228/

[76] Symantec、google.comなどのテスト証明書を手違いで無断発行 | スラド セキュリティ ( 版) http://security.srad.jp/story/15/11/02/0631200/

[77] Blogs - 日本のセキュリティチーム - Site Home - TechNet Blogs ( 版) http://blogs.technet.com/b/jpsecurity/archive/2013/06/12/3578245.aspx

[78] DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か - ITmedia エンタープライズ ( 版) http://www.itmedia.co.jp/enterprise/articles/1511/24/news048.html

[85] gecko-dev/NSSCertDBTrustDomain.cpp at master · mozilla/gecko-dev ( ()) https://github.com/mozilla/gecko-dev/blob/master/security/certverifier/NSSCertDBTrustDomain.cpp

WhitelistedCNNICHashBinarySearchComparator

[86] SBI証券(旧SBIイー・トレード証券)-オンライントレードで株式・投資信託・債券を- () https://www.sbisec.co.jp/ETGate/WPLETmgR001Control?OutSide=on&getFlg=on&burl=search_home&cat1=home&cat2=none&dir=info&file=home_info160823.html

SBI証券では、SBI証券のWEBサイトをより安全にご利用いただけるよう、WEBサイトの正当性を確認する手段として「EV SSL証明書」を採用しておりますが、「EV SSL証明書」には期限があることから、この更新を随時行っております。

一部のお客さまより、「EV SSL証明書」が認証できる状態になっていないことにより当社WEBサイトの一部のページが表示されないなどお問い合わせをいただいていることから、「EV SSL証明書」の状態の確認の方法、並びに、認証できる状態にするための対処の手順をご案内させていただきます。

[87] >>86 わけのわからないことを言っているが、証明書を更新した結果、古い環境だとルート証明書が入っていなくてエラーになる、という意味らしい。 しかしこのお知らせを HTTPS で提供してもエラーになっている人には読めないのでは・・・。

[88] 証明書の不正発行や日付改ざんを行っていた認証局「WoSign」、Firefoxが同社による証明書をブロックへ | スラド セキュリティ () http://security.srad.jp/story/16/10/04/0653200/

先日、中国大手SSL認証局「WoSign」で不正に証明書を取得できてしまう問題が明らかになったが、これを受けてFirefoxが同社の発行した証明書をブロックする方針を固めたようだ(GIGAZINE、Threatpost)。

[89] 870185 – Add Renewed Japanese Government Application CA Root certificate () https://bugzilla.mozilla.org/show_bug.cgi?id=870185

[90] Symantec CA Response to Google Proposal and Community Feedback | Symantec Connect Community () https://www.symantec.com/connect/blogs/symantec-ca-proposal

[91] 2016年10月21日以降に発行されたStartSSLの無料証明書は無効 - Qiita () http://qiita.com/imfiare/items/035b4d9f2e19b8f8863d

[92] Google、Chrome 61以降でWoSignの証明書をブロックへ | スラド セキュリティ () https://security.srad.jp/story/17/07/14/0656225/

[93] SymantecがSSL証明書関連事業を売却へ | スラド セキュリティ () https://security.srad.jp/story/17/08/07/0932242/

[94] 870185 - Add Renewed Japanese Government Application CA Root certificate () https://bugzilla.mozilla.org/show_bug.cgi?id=870185

[95] Google Online Security Blog: Chrome’s Plan to Distrust Symantec Certificates () https://security.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html

[96] Google グループ () https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/eUAKwjihhBs%5B251-275%5D

[97] CA:Symantec Issues - MozillaWiki () https://wiki.mozilla.org/CA:Symantec_Issues

[98] 【FAQ】Google ChromeによるSSLサーバ証明書の警告/エラー表示と回避方法について | GeoTrust () https://knowledge.geotrust.com/jp/support/knowledge-base/index?vproductcat=G&vdomain=GEOTRUST_JP&page=content&id=SO29554&actp=search&viewlocale=ja_JP&searchid=1499743996505&locale=ja_JP&redirected=true

[99] シマンテック社SSL証明書に関する再発行対応期限の変更について – さくらのサポート情報 () https://help.sakura.ad.jp/hc/ja/articles/115000130522

[100] Statement on DigiCert’s Proposed Purchase of Symantec’s CA | Mozilla Security Blog () https://blog.mozilla.org/security/2017/10/31/statement-digicerts-proposed-purchase-symantec/

[101] Mozilla Releases Version 2.5 of Root Store Policy | Mozilla Security Blog () https://blog.mozilla.org/security/2017/09/07/mozilla-releases-version-2-5-root-store-policy/

[102] Google Chromeの実験的ビルド「Canary」でSymantecの証明書が無効化される | スラド セキュリティ () https://security.srad.jp/story/18/02/07/0646241/

[103] SSL/TLS証明書再販業者Trustico、メールで顧客の秘密鍵を送りつけて強制的に証明書を失効させる暴挙 | スラド セキュリティ () https://security.srad.jp/story/18/03/05/149258/

[104] Deprecations and removals in Chrome 65  |  Web  |  Google Developers () https://developers.google.com/web/updates/2018/02/chrome-65-deprecations

[105] 823665 - please remove trust of GPKIRootCA1 root certificate or sub-ca - chromium - Monorail () https://bugs.chromium.org/p/chromium/issues/detail?id=823665

[106] Distrust of Symantec TLS Certificates | Mozilla Security Blog () https://blog.mozilla.org/security/2018/03/12/distrust-symantec-tls-certificates/

[107] Firefox 64リリース、シマンテックの証明書が無効に | スラド セキュリティ () https://security.srad.jp/story/18/12/13/0528216/

[108] Mozilla、Google、Appleがカザフスタン政府によるWebブラウザ経由のスパイ行為をブロック - ITmedia NEWS () https://www.itmedia.co.jp/news/articles/1908/22/news061.html

[2] Let's Encrypt証明書を使用しているWebサイト、Android 7.1以前の端末での閲覧に影響か | スラド () https://srad.jp/story/20/08/11/0411203/

[3] カザフスタン政府発行のルート証明書、中間者攻撃が判明して各社ブラウザーにブロックされる | スラド セキュリティ () https://security.srad.jp/story/20/12/20/1959212/

[4] 1680927 - MITM in Kazakhstan () https://bugzilla.mozilla.org/show_bug.cgi?id=1680927

[5] Continuing to Protect our Users in Kazakhstan - Open Policy & Advocacy () https://blog.mozilla.org/netpolicy/2020/12/18/kazakhstan-root-2020/

[6] 2020年末に期限切れになるルート証明書。「削除しないで」とMicrosoft - PC Watch (株式会社インプレス, ) https://pc.watch.impress.co.jp/docs/news/1297082.html

[7] Let's Encryptの9月末のルートCA証明書期限切れ、複数サイトで影響発生 | スラド IT () https://it.srad.jp/story/21/10/06/2331232/

[12] 【修正済み】2021年9月30日ごろより引用スターが追加できなくなる不具合が発生しています - はてなブログ開発ブログ, https://staff.hatenablog.com/entry/2021/10/05/115141

はてなブログLet's Encrypt 証明書だから、これもそれでしょうね。

[13] ロシアが独自のTLS認証局を創設、主要ウェブブラウザベンダーの審査通過は難しいとの見方も | スラド セキュリティ () https://security.srad.jp/story/22/03/14/1536257/

[17] 昭和の時計とソ連の時計さんはTwitterを使っています: 「ロシアのサイトは経済制裁で西側の認証局が使えず、最近はロシア独自の証明書を利用しているので、ブラウザが「警告: 潜在的なセキュリティリスクあり」を連発してくれる(笑)。初めて踏むURLだと、マジ怖いんですけど。笑 全部プーチンが悪い💢 https://t.co/o49tAGgGnF」 / X, , https://twitter.com/Boctok_99/status/1688381901659353088

[18] 改竄されているか検知できないということだから、初めてでも2度目でも100度目でも怖いぞ。 慣れたときほど怖いぞ。