人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

CRL(証明書失効リスト)について教えてください。

自社ネットワークからインターネットのどのようなサイトが
閲覧されているのか分析していますが、かなり上ににCRL
を記載したページのURLがランクインしています。

CRLを登録するのは、証明書を発行している企業や団体
だと思っていたので、なぜこのようなURLへのアクセスが
頻繁に行われているのか、疑問です。

たとえば、社内のクライアントがプロキシ経由で
インターネット上の「信頼できない」サイトにアクセス
しようとしたときに、プロキシがCRLを記載したページ
に接続して証明書の確認をする、といった動作をしている
のでしょうか?

●質問者: beans27
●カテゴリ:コンピュータ インターネット
✍キーワード:CRL URL アクセス インターネット クライアント
○ 状態 :終了
└ 回答数 : 1/1件

▽最新の回答へ

1 ● TransFreeBSD

確認ですが「CRLを記載したページのURL」とは

のようなものでしょうか?それともそのページにある

のようなものでしょうか?

前者なら理由は分かりません。

後者ならブラウザなどが勝手に定期的に読みに行っているはずです。

CRLを登録するのは、証明書を発行している企業や団体だと思っていたので

それはその通りですが、CRLを登録する側は自社管理のサーバですから直接インターネット経由でアクセスする必要はありません。

インターネット経由でアクセスする必要があるのは、その証明書を利用(検証)している私たちです。

社内のクライアントがプロキシ経由でインターネット上の「信頼できない」サイトにアクセスしようとしたときに、

「信頼できない」サイトに、ではありません。CRLを確認しないと信頼できるかできないかは確認できませんので、最近CRLが確認されていない場合に、です。

プロキシがCRLを記載したページに接続して証明書の確認をする

通常、プロキシが行うのではなく個々のブラウザが直接確認します。

そうでなければ、プロキシ―クライアント間の通信やプロキシ自体の健全性を保障する仕組みが必要になりますが、通常そういったものは用意されていませんので。

なお、クライアント証明書が必要な場合、その証明書の確認のためWebサーバもCRLを参照することになります。

◎質問者からの返答

早速の回答ありがとうございます。

大変わかりやすい説明で、証明書確認の動作について理解が

進みました。

ちなみに、下記の件ですが・・・

>確認ですが「CRLを記載したページのURL」とは

>

>https://www.verisign.co.jp/repository/crl.html

>のようなものでしょうか?それともそのページにある

>

>http://crl.verisign.com/pca1.1.1.crl

>のようなものでしょうか?

これは「前者」のほうです。

正確には「前者」のhtmlが読んでいるのではないかと思われる

index of のページです。

(個々のcrlやgifなどのパスが並んでいます)


ユーザーがアクセスするページではないので、ブラウザが

アクセスしているのだと思います。


>なお、クライアント証明書が必要な場合、その証明書の確認のためWebサーバも

>CRLを参照することになります。


アクセス分析している範囲の中には、社外に公開している

Webサーバは含まれていないので、やはり、ブラウザが

定期的(?)にCRLをチェックしに行っているということ

なのかと思います。


KPIに関する動作は、ネットで調べてもなかなか理解でき

なかったのですが、(サーバの立場で読むのか、クライア

ントの立場で読むのか、そこからピンとこないのです)

お答えいただいた内容はよくわかりました。

ありがとうございました。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ