MIME 型

[9] 次の MIME型が規定されています。

application/x-x509-user-cert
application/x-x509-ca-cert
application/x-x509-email-cert

[10]

>>3 の時点では application/x-x509-email-cert はまだ無かったようです。 >>18 や >>4 には含まれており、 Netscape4 時代に追加されたものと思われます。

[11]

application/x-x509-server-cert も使われることがあるようですが、当仕様書には含まれていません。

[33] 少なくても Chrome は、その他に application/x-pkcs12 にも対応しているように見えます。 (Chrome は application/x-x509-email-cert に対応していないように見えます。) 2015-05-07T13:13:25.100Z

[15] これらの MIME型はファイル形式を示すものではなく (>>13 のいずれでも良いようです)、ダウンロードした証明書をどう処理するべきかを指定するもののようです。

[16] 用途によって少しずつ証明書に記述するべき内容も違っているので、広義のファイル形式ではあるのですが...

[23] application/x-x509-user-cert は、 Webブラウザーの利用者の証明書を表しています。最初の証明書は利用者の証明書でなければなりません。 >>2

[12]

keygen 要素を含むフォームの提出で公開鍵を受け取ったサーバーが証明書を生成し、 Webブラウザーにダウンロードさせるために使うことができます。

[25] application/x-x509-ca-cert は、 CA証明書を表しています。最初の証明書はCA証明書でなければなりません。 >>2

[27] application/x-x509-email-cert は、他の利用者の S/MIME 用証明書を表しています。最初の証明書は利用者の証明書でなければなりません。 >>2

[29] 人や CA が Webサイトに証明書を用意して、その人宛に電子メールを送りたい人がこれをダウンロードして使うことが想定されています

>>2

。

処理

[20] 与えられたファイルに証明書が複数含まれる場合、最初の証明書が文脈依存の方法で処理されます >>2。

[21] ここでいう文脈依存の方法は、ダウンロードの際の MIME型により決まります。 NSS を使ったサーバーでは、管理画面オプションの選択肢により決まります。 >>2

[24] application/x-x509-user-cert: 証明書に対応する秘密鍵が利用者のローカル鍵データベースに存在しなければ、エラーを表示して停止します >>2。そうでなければ、利用者の証明書としてローカル証明書データベースに追加します。
[26] application/x-x509-ca-cert: CA を信頼するかどうかを決めるダイアログを表示します >>2。
[28] application/x-x509-email-cert: 他の利用者の証明書としてローカル証明書データベースに追加します。

[22] 最初以外の証明書は、 BasicConstraints により CA証明書であるとされており、既にローカル証明書データベースに含まれていないなら、信頼されていない CA としてローカル証明書データベースに追加されます。 >>2

[34] Chrome は application/x-x509-user-cert には対応していますが、 application/x-x509-ca-cert には対応していないようです。 2015-08-13T07:38:14.700Z

[40] Chrome で application/x-x509-ca-cert の .pemファイルを開くと、危険なファイルの警告が表示されます。 2018-12-28T06:17:15.000Z

[35] Firefox は application/x-x509-ca-cert だと trust bits を選択するダイアログが表示されます。 2015-08-13T07:39:08.200Z

歴史

[3] Netscape Certificate Download Specification (2015-04-11 23:26:48 +09:00 版) http://web.archive.org/web/19970709163955/http://home.netscape.com/eng/security/downloadcert.html
[18] Netscape Certificate Download Specification (2015-04-12 13:21:05 +09:00 版) http://web.archive.org/web/20000511091621/http://www.netscape.com/eng/security/comm4-cert-download.html
[4] Netscape Certificate Management System Installation and Deployment Guide: (2011-02-10 11:26:52 +09:00 版) http://docs.oracle.com/cd/E19957-01/816-5533-10/dwnld.htm
[5] CA:Certificate Download Specification - MozillaWiki (2015-04-11 18:26:28 +09:00 版) https://wiki.mozilla.org/CA:Certificate_Download_Specification

[6] >>3 は1996年6月28日付けの Netscape3 版、 >>18 が Netscape4 版です。

[7] >>4 は NES、 >>5 と >>2 は Firefox へと受け継がれた版です。

[8] >>2 が2014年5月7日更新で、現時点で最新となっています。

[17] 249004 – Importing false CA certificate leading to error -8182 (perm DoS), especially exploitable by email (2015-04-12 13:19:44 +09:00 版) https://bugzilla.mozilla.org/show_bug.cgi?id=249004

[19] (2015-04-12 13:24:24 +09:00 版) http://web.archive.org/web/20060929031003/http://www.alw.nih.gov/pki/docs/ns-ca.txt

The browser uses the public key encoded in the certificate to
associate the certificate with the appropriate private key in
its local key database. Now, the certificate is "installed".

[31] Issue 37142 - chromium - Intermediate certs received along with generated client cert will not be saved - An open-source project to help move the web forward. - Google Project Hosting (2015-04-12 15:36:22 +09:00 版) https://code.google.com/p/chromium/issues/detail?id=37142

[30] Issue 136534 - chromium - Offer the ability to download application/x-x509-user-cert responses - An open-source project to help move the web forward. - Google Project Hosting (2015-04-12 15:38:51 +09:00 版) https://code.google.com/p/chromium/issues/detail?id=136534

[32]

draft-gutmann-scep-00 - Simple Certificate Enrolment Protocol (2015-04-03 02:25:17 +09:00 版) https://tools.ietf.org/html/draft-gutmann-scep-00#section-5.2.1.1.1

The response will have a Content-Type of "application/x-x509-ca-cert".

[36] Issue 37142 - chromium - Intermediate certs received along with generated client cert will not be saved - An open-source project to help move the web forward. - Google Project Hosting (2015-03-22 00:58:11 +09:00 版) https://code.google.com/p/chromium/issues/detail?id=37142

[37]

(Pre-)Intent to Deprecate: <keygen> element and application/x-x509-*-cert MIME handling - Google グループ (2015-09-02 11:09:53 +09:00 版) https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/pX5NbX0Xack/discussion

On the application/x-x509-*-cert support, there is a wide gap of interoperability. Chrome does not support multiple certificates, but Firefox does. Firefox will further reorder certificates that are inconsistent with what was specified, offering a non-standard behaviour. Chrome does not support application/x-x509-ca-cert on Desktop, and on Android, defers to the platform capabilities, which further diverge from Firefox. Both browsers have the underspecified behaviour of requiring the user having a matching key a-priori, except that's not detailed as to how it works. Firefox also handles various mis-encodings (improper DER, DER when it should be base64), which Chrome later implemented, but is not well specified.

[38] 1024871 – stop offering to import CA certificates when browsed to (2015-09-02 11:10:17 +09:00 版) https://bugzilla.mozilla.org/show_bug.cgi?id=1024871

[39] Expand on the <keygen> removal and deprecation (domenic著, 2016-11-24 09:31:45 +09:00) https://github.com/whatwg/html/commit/8a85d1742d9ac9be17f79f8087898147209d354c