FYI
http://
IEの証明書マネージャには、サイトを個別に受け入れるための証明書ストアが存在しない。
このことが、誤ったPKIの使い方を蔓延させるきっかけになったとも言える。IEでのアクセスを前提とすると、自作のサーバ証明書で運用しようとすれば、オレオレ認証局の証明書をルート認証局としてブラウザにインポートせざるを得なくなる。
自作証明書で運用したいなら、「Internet Explorerでのご利用はサポートしていません」とお断りしよう。
http://
IEの証明書マネージャには、サイトを個別に受け入れるための証明書ストアが存在しない。
このことが、誤ったPKIの使い方を蔓延させるきっかけになったとも言える。IEでのアクセスを前提とすると、自作のサーバ証明書で運用しようとすれば、オレオレ認証局の証明書をルート認証局としてブラウザにインポートせざるを得なくなる。
自作証明書で運用したいなら、「Internet Explorerでのご利用はサポートしていません」とお断りしよう。
|
|
|
|
コメント(3)
今晩は。
はじめましてryuと申します。
高木さんのロジックはちょっとごーいんな気がしますねぇ。
たしかにNatescape/Mozilla/Firefox系のように特定の「サイト証明書」のみを入れておく物はほしい気もしますが……
何とかしないかなぁ、マイクロソフトさんは。
まぁ、自分専用の認証局を上げ、Path Length Constraints/Name Constraintsを指定して「信用されたルート認証機関」に入れておけば、ほぼ同じことが可能だと思います。
(ついでにPolicy系の制限を入れておけばもっとよいかも(笑))
マイクロソフトの証明書検証は結構、力が入っているのでクライアント/サーバで検証のコードを追加すればName Constraintsもまともに動いた記憶があります(少なくともWindows 2000/IE 5.0以上では)。
はじめましてryuと申します。
高木さんのロジックはちょっとごーいんな気がしますねぇ。
たしかにNatescape/Mozilla/Firefox系のように特定の「サイト証明書」のみを入れておく物はほしい気もしますが……
何とかしないかなぁ、マイクロソフトさんは。
まぁ、自分専用の認証局を上げ、Path Length Constraints/Name Constraintsを指定して「信用されたルート認証機関」に入れておけば、ほぼ同じことが可能だと思います。
(ついでにPolicy系の制限を入れておけばもっとよいかも(笑))
マイクロソフトの証明書検証は結構、力が入っているのでクライアント/サーバで検証のコードを追加すればName Constraintsもまともに動いた記憶があります(少なくともWindows 2000/IE 5.0以上では)。
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
PKI 更新情報
-
最新のイベント
-
最新のアンケート
-
まだ何もありません
-
PKIのメンバーはこんなコミュニティにも参加しています
人気コミュニティランキング
- 1位
- mixi バスケ部
- 37839人
- 2位
- 酒好き
- 170670人
- 3位
- マイミク募集はここで。
- 89536人