Verisign等で証明書を取得しそれをサーバに入れた際に
そのサーバをネットにまったく繋げずに
ローカルで使用した場合(アクセスはhostsの書き換えなどでFQDNでアクセス)は
認証局への経路がないため、アクセスした際に
正式な証明書であってもセキュリティ警告が出るのでしょうか?
SSLの時のテストは、
テスト用のIDを使って、インターネットに接続しない形で
行った記憶があるのですが・・・。
http://www.verisign.co.jp/repository/faq/SSL/https.html
http://www.verisign.co.jp/server/trialserver/index.html
http://www.verisign.co.jp/server/about/2006rollover/ssid/index.h...
wwwアクセスの際に行われる証明書の検証処理は、認証局との通信によって行われるのではなく、証明書をインストールしたwwwサーバがブラウザに送ってくる証明書を、ブラウザにあらかじめ登録されている認証局の情報と照合することで行われます。
つまり、「ネットにつながっていない状態でも証明書のチェックは正しく行われるので、ネットにつながっていないことが原因となってセキュリティ警告が出ることは無い」ということになります。
証明書の確認は、認証局の証明書(ルート証明書)を使っておこなわれます。
また、その証明書はブラウザ(IE,Firefox,etc...)に内蔵されていますので、特に通信は行われません。
よって警告は出ません。
Verisign のサーバーの種類によっては中間認証局の証明書が必要な場合もありますが、これはサーバーにインストールするように指示があるはずですしサーバーへのアクセス時にクライアントにダウンロードされるので、この場合も問題ありません。
取得した証明書が「信頼できる」と言うためには、その証明書が参照する発行元が「信頼できる」状態で無ければなりません。
発行元の証明書をネット経由で確認するのは、改ざん等の危険がありその正当性を100%担保できるわけではないため、通常は OS(Windowsなど)が、「信頼できる」証明書を最初から(ネットを経由せずに、OSのインストールCDまたはDVDなどのローカルな手段で)インストールしてあります(ルート証明書)。
Verisignなど有名どころは必ずルート証明書に含まれていますので、ネットに接続されていなくても証明書の確認が行えます。逆にルート証明書として登録されていないようなマイナーな認証局(もしくは自サーバ)から証明書を取得するべきではありません。(オレオレ証明書)
Windowsであれば、OSプリインストール済みの「信頼された」ルート証明書を以下の手順で確認できます。
コンパネ→インターネットオプション→コンテンツ→証明書
コメント(0件)