[1] Certificate Download Specification は、証明書のダウンロードに関する仕様書です。
[13] 次のファイル形式が規定されています。
application/x-x509-server-cert
も使われることがあるようですが、当仕様書には含まれていません。application/x-pkcs12
にも対応しているように見えます。 (Chrome は
application/x-x509-email-cert に対応していないように見えます。)
[15] これらの MIME型はファイル形式を示すものではなく (>>13 のいずれでも良いようです)、 ダウンロードした証明書をどう処理するべきかを指定するもののようです。
[23] application/x-x509-user-cert は、
Webブラウザーの利用者の証明書を表しています。
最初の証明書は利用者の証明書でなければなりません。 >>2
[25] application/x-x509-ca-cert は、
CA証明書を表しています。
最初の証明書はCA証明書でなければなりません。 >>2
[27] application/x-x509-email-cert は、
他の利用者の S/MIME 用証明書を表しています。
最初の証明書は利用者の証明書でなければなりません。 >>2
[20] 与えられたファイルに証明書が複数含まれる場合、 最初の証明書が文脈依存の方法で処理されます >>2。
[21] ここでいう文脈依存の方法は、ダウンロードの際の MIME型により決まります。 NSS を使ったサーバーでは、管理画面オプションの選択肢により決まります。 >>2
application/x-x509-user-certapplication/x-x509-ca-certapplication/x-x509-email-cert[22] 最初以外の証明書は、 BasicConstraints により
CA証明書であるとされており、既にローカル証明書データベースに含まれていないなら、
信頼されていない CA としてローカル証明書データベースに追加されます。 >>2
[34] Chrome は application/x-x509-user-cert
には対応していますが、 application/x-x509-ca-cert
には対応していないようです。
[40]
Chrome で
application/x-x509-ca-cert
の .pemファイルを開くと、危険なファイルの警告が表示されます。
[35] Firefox は application/x-x509-ca-cert
だと trust bits を選択するダイアログが表示されます。
[6] >>3 は1996年6月28日付けの Netscape3 版、 >>18 が Netscape4 版です。
[7] >>4 は NES、 >>5 と >>2 は Firefox へと受け継がれた版です。
[8] >>2 が2014年5月7日更新で、現時点で最新となっています。
[17] 249004 – Importing false CA certificate leading to error -8182 (perm DoS), especially exploitable by email ( 版) https://bugzilla.mozilla.org/show_bug.cgi?id=249004
The browser uses the public key encoded in the certificate to
associate the certificate with the appropriate private key in
its local key database. Now, the certificate is "installed".
[31] Issue 37142 - chromium - Intermediate certs received along with generated client cert will not be saved - An open-source project to help move the web forward. - Google Project Hosting ( 版) https://code.google.com/p/chromium/issues/detail?id=37142
[30] Issue 136534 - chromium - Offer the ability to download application/x-x509-user-cert responses - An open-source project to help move the web forward. - Google Project Hosting ( 版) https://code.google.com/p/chromium/issues/detail?id=136534
The response will have a Content-Type of "application/x-x509-ca-cert".
[36] Issue 37142 - chromium - Intermediate certs received along with generated client cert will not be saved - An open-source project to help move the web forward. - Google Project Hosting ( 版) https://code.google.com/p/chromium/issues/detail?id=37142
On the application/x-x509-*-cert support, there is a wide gap of interoperability. Chrome does not support multiple certificates, but Firefox does. Firefox will further reorder certificates that are inconsistent with what was specified, offering a non-standard behaviour. Chrome does not support application/x-x509-ca-cert on Desktop, and on Android, defers to the platform capabilities, which further diverge from Firefox. Both browsers have the underspecified behaviour of requiring the user having a matching key a-priori, except that's not detailed as to how it works. Firefox also handles various mis-encodings (improper DER, DER when it should be base64), which Chrome later implemented, but is not well specified.
[38] 1024871 – stop offering to import CA certificates when browsed to ( 版) https://bugzilla.mozilla.org/show_bug.cgi?id=1024871
[39] Expand on the <keygen> removal and deprecation (domenic著, ) https://github.com/whatwg/html/commit/8a85d1742d9ac9be17f79f8087898147209d354c
application/x-x509-email-certはまだ無かったようです。 >>18 や >>4 には含まれており、 Netscape4 時代に追加されたものと思われます。