[35] [DFN[[RUBYB[ルート証明書]@en[root certificate]]]]は、[[証明書]]の検証の起点となる[[証明書]] ([[trust anchor]]) です。 [[Webブラウザー]]などの [[TLSクライアント]]は、自身 (の[[利用者]]) が信頼する[[ルート証明書]]群を保持しており、それを使って [[TLS]] によって受信した[[サーバー証明書]]を検証します。 ;; [60] [[末端実体証明書]]の検証には[[ルート証明書]]の他に[[中間証明書]]も必要ですが、 [[TLS]] では[[末端実体証明書]]と共に[[中間証明書]]もすべて送信することになっていますから、 [[Webブラウザー]]が予め保持しておく必要があるのは[[ルート証明書]]だけです。 * 仕様書 [REFS[ - [14] [[BR]] ([TIME[2014-11-01 05:54:38 +09:00]] 版) ]REFS] * ルートCA [8] [[Application Software Suppliers]] によって[[ルート証明書]]が配布されると共に、 [[下位CA証明書]]を[[発行]]する最上位[[認証局]] ([[CA]]) を[DFN[[RUBYB[[[ルートCA]]]@en[Root CA]]]]といいます [SRC[>>14]]。 [33] [[BR]] は[[ルートCA]]に対する要件を定めています。 * ルート証明書 [32] [[ルートCA]]が自己を識別するため、および[[下位CA]]に[[発行]]した[[証明書]]を[RUBYB[検証]@en[verify]]させるために[[発行]]する[[自己署名証明書]]を[DFN[[RUBYB[[[ルート証明書]]]@en[Root Certificate]]]]といいます [SRC[>>14]]。 [34] [[BR]] は[[ルート証明書]]に対する要件を定めています。 次のものは[[ルート証明書]]に関する規定があります。 [FIG(short list)[ - [[証明書ポリシー]] - [[extended key usage]] ]FIG] * ルートCAの指定 [64] [[TLS]] [CODE[[[CertificateRequest]]]] [[メッセージ]]の [CODE[[[certificate_authorities]]]] には、[[サーバー]]が受け付ける[[ルートCA]]の[[DN]]を指定できます。 [63] [[TLS拡張]] [CODE[[[trusted_ca_keys]]]] は、自身が信頼している[[ルートCA]] に関する情報を相手に伝え、それに沿った[[証明書]]を送信することを求めるものです。 * 証明書データベース [31] [[ルート証明書]]は、 特定目的に単独で使うこともありますが、 多くの場合[[証明書データベース]]に登録して使います。 [[証明書データベース]]中の[[証明書]]には、 それ自体の他に追加の[[メタデータ]]が付与されることがあります。 [SEE[ [[証明書データベース]] ]] * ルート証明書採用ポリシー [SEE[ [[証明書データベース]] ]] * 相互運用性 [SEE[ [[証明書データベース]] ]] * ルート証明書の追加 [SEE[ [[証明書データベース]] ]] * クラウドサービス事業者の独自ルート証明書 [71] [CITE[Using SSL to Encrypt a Connection to a DB Instance - Amazon Relational Database Service]] ([TIME[2015-08-20 07:02:28 +09:00]] 版) * セキュリティー [73] [[証明書データベース]]のセキュリティーの項を参照。 * メモ [1] [CITE@ja[ルート証明書 - Wikipedia]] ([TIME[2015-02-05 09:57:04 +09:00]] 版) [FIG(quote)[ [FIGCAPTION[ [9] [CITE@ja[ダウンロードコーナーのご利用に当たって【事前準備】|e-Tax]] ([[国税庁]] 著, [TIME[2015-03-23 08:29:08 +09:00]] 版) ]FIGCAPTION] > e-Taxのご利用に当たっては、ご使用のパソコンに政府共用認証局(官職認証局)と政府共用認証局(アプリケーション認証局2)のルート証明書・中間証明書をインストールする必要があります ]FIG] [FIG(quote)[ [FIGCAPTION[ [10] [CITE[中国ネット管理機関、ルート証明書に関するグーグル決定非難 | テクノロジーニュース | Reuters]] ([[]] 著, [TIME[2015-04-03 00:47:29 +09:00]] 版) ]FIGCAPTION] > CNNICのルート証明書をこれ以上認識しないと決定したことについて「理解できず、受け入れられない」と表明した。 ]FIG] [11] [CITE@en-US[Phasing out Certificates with 1024-bit RSA Keys | Mozilla Security Blog]] ([TIME[2015-04-03 00:53:34 +09:00]] 版) [15] [CITE@ja-JP[Java環境に手動でグローバルサインのルート証明書をインストールする方法 | SSL・電子証明書ならGMOグローバルサイン]] ([TIME[2015-04-06 14:16:28 +09:00]] 版) [16] [CITE@ja[Superfishのように勝手にルート証明書をインストールするソフト、続々見つかる | スラッシュドット・ジャパン セキュリティ]] ([TIME[2015-04-06 14:51:37 +09:00]] 版) [19] [CITE@ja[JVNVU#92865923: Komodia Redirector がルート CA 証明書と秘密鍵をインストールする問題]] ([TIME[2015-02-24 11:44:44 +09:00]] 版) [20] [CITE@en[CA:UserCertDB - MozillaWiki]] ([TIME[2015-04-06 09:56:30 +09:00]] 版) [FIG(quote)[ [FIGCAPTION[ [21] [CITE@ja-JP[ルート証明書について - 福井大学総合情報基盤センター]] ([TIME[2015-03-05 11:35:23 +09:00]] 版) ]FIGCAPTION] > 総合情報基盤センターでは、情報システム切り替えに伴い、例えばメールサーバなどでSSLを用い通信を保護した設定にするなど、セキュリティ面の強化を行っております。 > 大学のルート証明書をインポート(インストール)していない場合、SSLを使用した学内の各種サーバへのアクセスにおいて、警告が表示されるようになります。 > そこで、以下のルート証明書のインポート(インストール)をお願いいたします。 > <発行者> > RootCertification Authority, > Center for Information Initiative, > UNIVERSITY OF FUKUI, > JP > <有効期間> > 2012/01/12~2018/03/31 ]FIG] [28] [CITE[Symantec/Thawte EV and Trust Bit Change Request - Google Groups]] ([TIME[2015-04-06 18:44:48 +09:00]] 版) [50] [CITE@en-us[An automatic updater of revoked certificates is available for Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2]] ([TIME[2015-04-06 23:16:03 +09:00]] 版) [56] [CITE@en[724929 – Remove Trustwave Certificate(s) from trusted root certificates]] ([TIME[2015-04-07 11:22:03 +09:00]] 版) [57] [CITE[mozilla.dev.security.policy - Google Groups]] ([TIME[2015-04-07 11:22:12 +09:00]] 版) [58] [CITE@en[Google Online Security Blog: Maintaining digital certificate security]] ([TIME[2015-04-07 02:44:35 +09:00]] 版) [75] [CITE@ja[Apple、独自のルート証明書をインストールするiOSアプリをApp Storeから削除 | スラド アップル]] ([TIME[2015-11-06 23:55:57 +09:00]] 版) [76] [CITE@ja[Symantec、google.comなどのテスト証明書を手違いで無断発行 | スラド セキュリティ]] ([TIME[2015-11-07 00:00:52 +09:00]] 版) [77] [CITE@en[Blogs - 日本のセキュリティチーム - Site Home - TechNet Blogs]] ([TIME[2015-11-07 00:11:23 +09:00]] 版) [78] [CITE@ja[DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か - ITmedia エンタープライズ]] ([TIME[2015-11-24 12:00:31 +09:00]] 版) [FIG(quote)[ [FIGCAPTION[ [85] [CITE@en[gecko-dev/NSSCertDBTrustDomain.cpp at master · mozilla/gecko-dev]] ( ([TIME[2016-05-10 23:05:50 +09:00]])) ]FIGCAPTION] > WhitelistedCNNICHashBinarySearchComparator ]FIG] [FIG(quote)[ [FIGCAPTION[ [86] [CITE@ja[SBI証券(旧SBIイー・トレード証券)-オンライントレードで株式・投資信託・債券を-]] ([TIME[2016-09-06 12:07:14 +09:00]]) ]FIGCAPTION] > SBI証券では、SBI証券のWEBサイトをより安全にご利用いただけるよう、WEBサイトの正当性を確認する手段として「EV SSL証明書」を採用しておりますが、「EV SSL証明書」には期限があることから、この更新を随時行っております。 > 一部のお客さまより、「EV SSL証明書」が認証できる状態になっていないことにより当社WEBサイトの一部のページが表示されないなどお問い合わせをいただいていることから、「EV SSL証明書」の状態の確認の方法、並びに、認証できる状態にするための対処の手順をご案内させていただきます。 ]FIG] [87] >>86 わけのわからないことを言っているが、[[証明書]]を更新した結果、古い環境だと[[ルート証明書]]が入っていなくてエラーになる、という意味らしい。 しかしこのお知らせを [[HTTPS]] で提供してもエラーになっている人には読めないのでは・・・。 [FIG(quote)[ [FIGCAPTION[ [88] [CITE@ja[証明書の不正発行や日付改ざんを行っていた認証局「WoSign」、Firefoxが同社による証明書をブロックへ | スラド セキュリティ]] ([TIME[2016-10-05 16:17:21 +09:00]]) ]FIGCAPTION] > 先日、中国大手SSL認証局「WoSign」で不正に証明書を取得できてしまう問題が明らかになったが、これを受けてFirefoxが同社の発行した証明書をブロックする方針を固めたようだ(GIGAZINE、Threatpost)。 ]FIG] [89] [CITE@en[870185 – Add Renewed Japanese Government Application CA Root certificate]] ([TIME[2017-02-04 13:57:49 +09:00]]) [90] [CITE[Symantec CA Response to Google Proposal and Community Feedback | Symantec Connect Community]] ([TIME[2017-05-02 18:22:32 +09:00]]) [91] [CITE[2016年10月21日以降に発行されたStartSSLの無料証明書は無効 - Qiita]] ([TIME[2017-05-08 11:52:06 +09:00]]) [92] [CITE@ja[Google、Chrome 61以降でWoSignの証明書をブロックへ | スラド セキュリティ]] ([TIME[2017-07-15 16:31:53 +09:00]]) [93] [CITE@ja[SymantecがSSL証明書関連事業を売却へ | スラド セキュリティ]] ([TIME[2017-08-11 17:36:05 +09:00]]) [94] [CITE@en[870185 - Add Renewed Japanese Government Application CA Root certificate]] ([TIME[2017-08-11 17:53:21 +09:00]]) [95] [CITE@en[Google Online Security Blog: Chrome’s Plan to Distrust Symantec Certificates]] ([TIME[2017-09-16 19:57:23 +09:00]]) [96] [CITE[Google グループ]] ([TIME[2017-09-16 21:19:49 +09:00]]) [97] [CITE@en[CA:Symantec Issues - MozillaWiki]] ([TIME[2017-09-16 16:20:15 +09:00]]) [98] [CITE@en[【FAQ】Google ChromeによるSSLサーバ証明書の警告/エラー表示と回避方法について | GeoTrust]] ([TIME[2017-09-16 21:32:00 +09:00]]) [99] [CITE@ja[シマンテック社SSL証明書に関する再発行対応期限の変更について – さくらのサポート情報]] ([TIME[2017-08-08 10:30:11 +09:00]]) [100] [CITE@en-US[Statement on DigiCert’s Proposed Purchase of Symantec’s CA | Mozilla Security Blog]] ([TIME[2017-11-10 23:56:14 +09:00]]) [101] [CITE@en-US[Mozilla Releases Version 2.5 of Root Store Policy | Mozilla Security Blog]] ([TIME[2017-12-27 13:59:42 +09:00]]) [102] [CITE@ja[Google Chromeの実験的ビルド「Canary」でSymantecの証明書が無効化される | スラド セキュリティ]] ([TIME[2018-02-08 17:12:29 +09:00]]) [103] [CITE@ja[SSL/TLS証明書再販業者Trustico、メールで顧客の秘密鍵を送りつけて強制的に証明書を失効させる暴挙 | スラド セキュリティ]] ([TIME[2018-03-08 01:14:01 +09:00]]) [104] [CITE@en[Deprecations and removals in Chrome 65  |  Web  |  Google Developers]] ([TIME[2018-03-06 04:54:20 +09:00]]) [105] [CITE@en[823665 - please remove trust of GPKIRootCA1 root certificate or sub-ca - chromium - Monorail]] ([TIME[2018-04-11 12:03:05 +09:00]]) [106] [CITE@en-US[Distrust of Symantec TLS Certificates | Mozilla Security Blog]] ([TIME[2018-08-30 17:07:14 +09:00]]) [107] [CITE@ja[Firefox 64リリース、シマンテックの証明書が無効に | スラド セキュリティ]] ([TIME[2018-12-13 17:07:54 +09:00]]) [108] [CITE@ja[Mozilla、Google、Appleがカザフスタン政府によるWebブラウザ経由のスパイ行為をブロック - ITmedia NEWS]] ([TIME[2019-08-23 22:35:27 +09:00]]) [2] [CITE@ja[Let's Encrypt証明書を使用しているWebサイト、Android 7.1以前の端末での閲覧に影響か | スラド]] ([TIME[2020-08-12 11:01:02 +09:00]]) [3] [CITE@ja[カザフスタン政府発行のルート証明書、中間者攻撃が判明して各社ブラウザーにブロックされる | スラド セキュリティ]] ([TIME[2020-12-21T11:12:07.000Z]]) [4] [CITE@en[1680927 - MITM in Kazakhstan]] ([TIME[2020-12-21T11:13:20.000Z]]) [5] [CITE@en-US[Continuing to Protect our Users in Kazakhstan - Open Policy & Advocacy]] ([TIME[2020-12-21T11:14:10.000Z]]) [6] [CITE@ja[2020年末に期限切れになるルート証明書。「削除しないで」とMicrosoft - PC Watch]] ([[株式会社インプレス]], [TIME[2020-12-25T08:38:33.000Z]]) [7] [CITE@ja[Let's Encryptの9月末のルートCA証明書期限切れ、複数サイトで影響発生 | スラド IT]] ([TIME[2021-10-08T01:59:04.000Z]]) [12] [CITE@ja[【修正済み】2021年9月30日ごろより引用スターが追加できなくなる不具合が発生しています - はてなブログ開発ブログ]], [TIME[2021-10-08T02:03:19.000Z]] [CITE[はてなブログ]]は [[Let's Encrypt]] 証明書だから、これもそれでしょうね。 [13] [CITE@ja[ロシアが独自のTLS認証局を創設、主要ウェブブラウザベンダーの審査通過は難しいとの見方も | スラド セキュリティ]] ([TIME[2022-03-15T11:20:20.000Z]]) [17] [CITE@ja[昭和の時計とソ連の時計さんはTwitterを使っています: 「ロシアのサイトは経済制裁で西側の認証局が使えず、最近はロシア独自の証明書を利用しているので、ブラウザが「警告: 潜在的なセキュリティリスクあり」を連発してくれる(笑)。初めて踏むURLだと、マジ怖いんですけど。笑 全部プーチンが悪い💢 https://t.co/o49tAGgGnF」 / X]], [TIME[午前11:49 · 2023年8月7日][2023-08-07T02:49:48.000Z]], [TIME[2023-08-07T05:12:46.000Z]] [18] 改竄されているか検知できないということだから、初めてでも2度目でも100度目でも怖いぞ。 慣れたときほど怖いぞ。 - [22] [CITE@ja[Xユーザーのちゅんこさん: 「ロシア国防省、先週くらいからこんなのが出るようになったので、いよいよ何か制限かかるのではとドキドキしている💦 「ロシア国防省のウェブサイト及びそのサービスの正確・安全な作動のため、ロシアの証明書のサポートのあるブラウザを使用するか、ロシア国防省のルート証明書をインストールしてね」 https://t.co/Ie4TcCskat」 / X]], [TIME[午前7:21 · 2024年4月21日][2024-04-20T22:21:56.000Z]], [TIME[2024-04-21T07:32:20.000Z]] -- [23] [CITE@ja[Xユーザーのちゅんこさん: 「むっちゃリポストされた後で誤訳に気付いたよね…(ロシア国防省の証明書じゃなくデジタル省やな…しにたい) https://t.co/ySNiZEFLyq」 / X]], [TIME[午後4:11 · 2024年4月21日][2024-04-21T07:11:04.000Z]], [TIME[2024-04-21T07:32:20.000Z]] -*-*- - [24] [CITE@pt-br[Repositório AC-Raiz — Instituto Nacional de Tecnologia da Informação]], [TIME[2024-04-23T13:24:27.000Z]] - [25] [CITE[SCDS - Sistema de Certificação Digital do Serpro]], [TIME[2024-04-23T13:24:39.000Z]] [26] >>24 >>25 [[ブラジル]]政府の[[ルート証明書]]の配布サイト。 - [27] [CITE@pt_BR[Bem vindo - IBAMA]], [TIME[2024-04-23T13:25:13.000Z]] [29] 例えば >>27 が[[ブラジル]]政府の[[ルート証明書]]を使っていて、 [[Windows]] の [[Chrome]] でも [[Mozilla のデータベース][Mozilla::CA]] でも証明書エラーになって表示できない。 [30] [[ブラジル]]国民は手動で政府証明書をインストールしてるのだろうか???