この記事は過去のUPKIイニシアティブに掲載されていたものです

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-odcert:00086] Re: Google Chrome の SHA-1 証明書表示



椙山女学園の荻野です。

Takeshi NISHIMURA wrote on 2014/12/03 11:37:
> ここは、「個々に事情があってSHA-2移行は容易ではない」(なのでChromeのように
> 性急に対応させようとするのはよくない)という文脈で、上記はその例だと思いま
> すが、確かにルート証明書がSHA-2であることは不要です。しかし、SHA-2のEE証明
> 書が別個のCAから発行されていてブラウザに受け入れられるためには当該CA証明書
> がトラストアンカーとして入っている必要がある、という状況はあります。
> # いわゆる非クロスルートの証明書です。
> 
> 例えばセコムのSHA-2証明書のルートは"Security Communications RootCA2"(SCRootCA2)
> で古いJDKには入っていません。
> 当方でもShibboleth IdP向けのサイトのSHA-2移行をどうしようか…、と考えていたところです。


  https://scrootca2test.secomtrust.net/

は RHEL5 では検証に失敗しました(2014/1/29 付の ca-bundle.crt)。RHEL6
では成功します。

当面の間、SHA-2 中間証明書が RootCA1 をルートにしてもらえればと思うのは
素人考えなのでしょうが。

当方では EAP-PEAP/TLS にも UPKI の証明書を使用して、信頼できるルート証明
書を設定してもらっているので、ルート証明書が変更になるとユーザへの案内が
結構大変そうです。

-- 
荻野 充 (おぎの みつる) ... 「萩(はぎ)」にあらず
GPG Key fingerprint = 7F26 5414 1805 F31B 1617  10B7 C117 07AE 1691 9BD1