人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

電子証明書を発行している会社(認証局)は世界中にたくさんあります。でもその中にはIEやOUTLOOKの「信頼されたルート証明機関」や「中間証明機関」に名前がない会社(SECOMなど)もたくさんあると認識しております。

「信頼されたルート証明機関」や「中間証明機関」にその会社の名前がリストされていないと、
たとえ中間証明機関に認証された認証局から発行された電子証明書でも、WebのSSL通信や、メールの電子署名などに利用された場合は警告が表示されてしまうのでしょうか?

よろしくお願い致します。


●質問者: nil55
●カテゴリ:コンピュータ インターネット
✍キーワード:IE Outlook SECOM SSL Web
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● b-wind
●50ポイント

SECOM Trust Systems の例であれば、その証明書自体が

ValiCert Class 1 Policy Validation Authority

によって証明されている。


ブラウザ等に組み込まれている証明局から連鎖的に証明がなされていれば警告等が

表示されることはないし、電子証明書の仕組みから行っても問題は無い。

◎質問者からの返答

ご回答ありがとうございます!!

なるほどです。そんな仕組みだったのですね!! とても勉強になりました!!!

ちなみに、この信頼のつながりは、電子証明を提示される毎にオンラインで確認されるものなの

でしょうか? 信頼のつながりを持っているデータベースにはすごい負荷がかからないか気になりました。


引き続きよろしくお願いいたします。


2 ● tera-p
●130ポイント ベストアンサー

ちなみに、この信頼のつながりは、電子証明を提示される毎にオンラインで確認されるものなの

でしょうか? 信頼のつながりを持っているデータベースにはすごい負荷がかからないか気になりました。

通常,サーバからルートCAまでをつなぐ一連の証明書が「鎖」のように繋がって届くので,失効状態をオンラインチェックしない限り(後述)そのような負荷はかかりません.

証明書の「鎖」は以下のようにして構成されています.

ここで,通常,(ブラウザがあらかじめ持っている最後の証明書以外の)「鎖」を構成する一連の証明書は認証の際に相手からごっそりまとめて送られてくるため,わざわざCAに「信頼のつながり」を問い合わせる必要はありません.そのため,「すごい負荷」を心配する必要はありません.


ただし,証明書の失効状態をオンライン確認する場合は負荷集中の懸念が出てきます.

証明書は(たとえば署名鍵が漏洩したなどの理由から)CAにより「失効」されることがあります.証明書だけを見てもその証明書が失効しているかどうかはわからないため,なんらかの方法で「この証明書は失効していないか」という問い合わせをCAに対してする必要がでてきます.

そのための方法として,CAから証明書失効リスト(CRL)をもらう方法や,CAに対してオンラインで失効状態を問い合わせる方法(OCSP)などがありますが,いずれもCAに対して負荷をかけます.

認証のたびに毎回失効確認することは稀(通常,失効確認の結果は一定期間保持される)なため,CAに対する負荷はある程度軽減はされますが,やはり「それなりの負荷」がかかります(ざっと探した範囲では具体的な数値は見つかりませんでしたが).

以上,ご参考になれば.

◎質問者からの返答

ご回答ありがとうございます!!

なるほどです… とても丁寧に解説していただたので、すっきり理解出来ました!!!

本当にありがとうございます!!!

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ