この記事は過去のUPKIイニシアティブに掲載されていたものです
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-odcert:00088] Re: Google Chrome の SHA-1 証明書表示
- Subject: [upki-odcert:00088] Re: Google Chrome の SHA-1 証明書表示
- Date: Wed, 03 Dec 2014 14:42:48 +0900
- From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>
西村です。
なるほど、アドレスバーの当該箇所をクリックして表示される文言は、
アドレスバーの表示とは条件が違うのではないか、という話ですね。
手元にあるいくつかで確認したところ、後者もやはりEE証明書の有効期限
が条件になっているのではないかと想像します。ただしアドレスバーのよう
に「2017年以降」という条件ではなく、「2016年以降」など、より厳しい
条件が付いているのではないかと考えています。つまりいずれについても
中間CA証明書の有効期限は条件に含まれないと想像します。
OK(オールグリーン):
https://upki-portal.nii.ac.jp/ (2015/09/27)
https://www.google.co.jp/ (2015/02/18)
NG:
https://office.gakunin.nii.ac.jp/ (2016/03/04)
https://mail.sugiyama-u.ac.jp/am_bin/amlogin (2016/03/17)
Chromeの一挙手一投足に振り回されるのはいやなので、まずはどういう条件
かを明確にしていきたいと思います。
On 2014/12/03 9:21, Mitsuru Ogino wrote:
> 西村様:
>
> 椙山女学園の荻野です。お世話になっております。
>
> Takeshi NISHIMURA wrote on 2014/12/02 20:01:
>>>> UPKI の証明書の場合、中間証明書が 2017年以降も有効な SHA-1 なの
>>>> で、すでにオールグリーンとはいかなくなっています。
>>
>> 誤解があるか私が誤解しているかですが、Chromeが中間CA証明書をチェック
>> するのはSHA-1か否かだけで、有効期限のチェック対象は
>> end-entity certificateだけだと認識しています。
>
> UPKI の場合は昨日のメールに添付したように、NII の中間証明書が灰色鍵に黄
> 色▲マークとともに「このサイトには古いセキュリティ設定が使用されてお
> り、…」と表示されます。
>
> 一方、https://www.google.co.jp では、こちらも SHA-1 を使用しているのに
> オールグリーンで表示されます。ここで、中間証明書 Google Internet
> Authority G2 がグリーンに表示されるのは、この証明書が SHA-1 であるにも関
> わらず、有効期限が Dec 31 23:59:59 2016 までだからだと考えていましたが、
> 私の勘違いでしょうか。
>
>
> $ openssl x509 -noout -issuer -subject -dates
> -----BEGIN CERTIFICATE-----
> MIID8DCCAtigAwIBAgIDAjp2MA0GCSqGSIb3DQEBBQUAMEIxCzAJBgNVBAYTAlVT
> MRYwFAYDVQQKEw1HZW9UcnVzdCBJbmMuMRswGQYDVQQDExJHZW9UcnVzdCBHbG9i
> YWwgQ0EwHhcNMTMwNDA1MTUxNTU1WhcNMTYxMjMxMjM1OTU5WjBJMQswCQYDVQQG
> EwJVUzETMBEGA1UEChMKR29vZ2xlIEluYzElMCMGA1UEAxMcR29vZ2xlIEludGVy
> bmV0IEF1dGhvcml0eSBHMjCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB
> AJwqBHdc2FCROgajguDYUEi8iT/xGXAaiEZ+4I/F8YnOIe5a/mENtzJEiaB0C1NP
> VaTOgmKV7utZX8bhBYASxF6UP7xbSDj0U/ck5vuR6RXEz/RTDfRK/J9U3n2+oGtv
> h8DQUB8oMANA2ghzUWx//zo8pzcGjr1LEQTrfSTe5vn8MXH7lNVg8y5Kr0LSy+rE
> ahqyzFPdFUuLH8gZYR/Nnag+YyuENWllhMgZxUYi+FOVvuOAShDGKuy6lyARxzmZ
> EASg8GF6lSWMTlJ14rbtCMoU/M4iarNOz0YDl5cDfsCx3nuvRTPPuj5xt970JSXC
> DTWJnZ37DhF5iR43xa+OcmkCAwEAAaOB5zCB5DAfBgNVHSMEGDAWgBTAephojYn7
> qwVkDBF9qn1luMrMTjAdBgNVHQ4EFgQUSt0GFhu89mi1dvWBtrtiGrpagS8wEgYD
> VR0TAQH/BAgwBgEB/wIBADAOBgNVHQ8BAf8EBAMCAQYwNQYDVR0fBC4wLDAqoCig
> JoYkaHR0cDovL2cuc3ltY2IuY29tL2NybHMvZ3RnbG9iYWwuY3JsMC4GCCsGAQUF
> BwEBBCIwIDAeBggrBgEFBQcwAYYSaHR0cDovL2cuc3ltY2QuY29tMBcGA1UdIAQQ
> MA4wDAYKKwYBBAHWeQIFATANBgkqhkiG9w0BAQUFAAOCAQEAJ4zP6cc7vsBv6JaE
> +5xcXZDkd9uLMmCbZdiFJrW6nx7eZE4fxsggWwmfq6ngCTRFomUlNz1/Wm8gzPn6
> 8R2PEAwCOsTJAXaWvpv5Fdg50cUDR3a4iowx1mDV5I/b+jzG1Zgo+ByPF5E0y8tS
> etH7OiDk4Yax2BgPvtaHZI3FCiVCUe+yOLjgHdDh/Ob0r0a678C/xbQF9ZR1DP6i
> vgK66oZb+TWzZvXFjYWhGiN3GhkXVBNgnwvhtJwoKvmuAjRtJZOcgqgXe/GFsNMP
> WOH7sf6coaPo/ck/9Ndx3L2MpBngISMjVROPpBYCCX65r+7bU2S9cS+5Oc4wt7S8
> VOBHBw==
> -----END CERTIFICATE-----
> issuer= /C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
> subject= /C=US/O=Google Inc/CN=Google Internet Authority G2
> notBefore=Apr 5 15:15:55 2013 GMT
> notAfter=Dec 31 23:59:59 2016 GMT
>
>
> # もしそうだとしても、これも Google Chrome 40 では黄色三角付灰色鍵に
> # なりそうですが。
--
西村健
国立情報学研究所 TEL:03-4212-2890