機関情報アクセス

機関情報アクセス

AIA

[1] RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile ( 版) https://tools.ietf.org/html/rfc5280#section-4.2.2.1

[6] CA証明書でも EE証明書でも使えます >>1

[16] CRL でも使えます。 >>15

[7] non-critical としなければなりません >>1, >>15

[2] 高木浩光@自宅の日記 - 第六種オレオレ証明書が今後増加するおそれ, 訂正(15日) (高木浩光 著, 版) http://takagi-hiromitsu.jp/diary/20071212.html

IEで警告が出ないのは、IEには独自の機能が搭載されているからで、サーバ証明書に記載の「Authority Information Access」拡張フィールドにあるURLから、検証に必要な中間認証局の証明書を、別途自動でダウンロードして取得する機能があるためだ

[3] AD CS: Authority information access locations should be included in the extensions of issued certificates ( 版) https://technet.microsoft.com/ja-jp/library/dd379544(v=ws.10).aspx

[4] 245609 – Mozilla not getting certificate issuer from Authority Information Access CA Issuers ( 版) https://bugzilla.mozilla.org/show_bug.cgi?id=245609

[5] Only specific APIs should skip the fetch event when called within a service worker · Issue #303 · whatwg/fetch () https://github.com/whatwg/fetch/issues/303

[8] 中間証明書は、 1.3.6.1.5.5.7.48.1 (OCSP) が指定されているのが普通です。

[9] EE証明書は、 1.3.6.1.5.5.7.48.1 (OCSP) と 1.3.6.1.5.5.7.48.2 (CA証明書) が指定されているのが普通です。

[10] どちらも uniformResourceIdentifierhttp: URL が指定されているのが普通です。

[11] 1.3.6.1.5.5.7.48.1OCSP サーバーURL を指定するものです。

[12] 1.3.6.1.5.5.7.48.2中間証明書URL を指定するものです。 証明書鎖のすべての証明書が揃っていないとき、 ここにアクセスして足りないものを得ることができます。

[13] ただし TLS ではすべての中間証明書プロトコル上で転送することになっているので、 この情報は使われません。 多くの実装では中間証明書が足りていないと検証エラーになります。 しかし IE はこの URL にアクセスしに行き、 見つかった証明書を使って検証します。

[14] GitHub - zakjan/cert-chain-resolver: SSL certificate chain resolver, https://github.com/zakjan/cert-chain-resolver

[15] RFC 4325: Internet X.509 Public Key Infrastructure Authority Information Access Certificate Revocation List (CRL) Extension, https://www.rfc-editor.org/rfc/rfc4325.html

[18] HTTP Certificate Store Interface

SIA

[17] HTTP Certificate Store Interface

メモ