[1] RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile ( 版) https://tools.ietf.org/html/rfc5280#section-4.2.2.1
[7] non-critical としなければなりません >>1, >>15。
IEで警告が出ないのは、IEには独自の機能が搭載されているからで、サーバ証明書に記載の「Authority Information Access」拡張フィールドにあるURLから、検証に必要な中間認証局の証明書を、別途自動でダウンロードして取得する機能があるためだ
[3] AD CS: Authority information access locations should be included in the extensions of issued certificates ( 版) https://technet.microsoft.com/ja-jp/library/dd379544(v=ws.10).aspx
[4] 245609 – Mozilla not getting certificate issuer from Authority Information Access CA Issuers ( 版) https://bugzilla.mozilla.org/show_bug.cgi?id=245609
[5] Only specific APIs should skip the fetch event when called within a service worker · Issue #303 · whatwg/fetch () https://github.com/whatwg/fetch/issues/303
[8]
中間証明書は、
1.3.6.1.5.5.7.48.1
(OCSP)
が指定されているのが普通です。
[9] EE証明書は、
1.3.6.1.5.5.7.48.1
(OCSP)
と
1.3.6.1.5.5.7.48.2
(CA証明書)
が指定されているのが普通です。
[10]
どちらも uniformResourceIdentifier
で
http:
URL
が指定されているのが普通です。
[11] 1.3.6.1.5.5.7.48.1
は OCSP
サーバーの URL
を指定するものです。
[12]
1.3.6.1.5.5.7.48.2
は中間証明書の URL
を指定するものです。
証明書鎖のすべての証明書が揃っていないとき、
ここにアクセスして足りないものを得ることができます。
[13] ただし TLS ではすべての中間証明書をプロトコル上で転送することになっているので、 この情報は使われません。 多くの実装では中間証明書が足りていないと検証エラーになります。 しかし IE はこの URL にアクセスしに行き、 見つかった証明書を使って検証します。
[14] GitHub - zakjan/cert-chain-resolver: SSL certificate chain resolver, https://github.com/zakjan/cert-chain-resolver
[15] RFC 4325: Internet X.509 Public Key Infrastructure Authority Information Access Certificate Revocation List (CRL) Extension, https://www.rfc-editor.org/rfc/rfc4325.html