疑問 ディジタル証明書のシリアル番号が、見る端末ごと違う。

シリアル番号というのは、認証局が発行した証明書に一意に付けられる番号。

どの端末で見ても同じはず?

ではなかった!!

パソコンを2台用意して、証明書のシリアル番号、パスを検証

media-method.jp。クロームで見る場合は、鍵のマークをクリックし、証明書→詳細でシリアル番号は確認できます。

ディジタル証明書の取得に利用したのは、kingSSLのドメイン認証(ホスティングサーバはBIZメール&ウェブ エコノミー)、

パソコンから検証してみると、証明書パス(チェーンというらしい)も違うし、シリアル番号も違うということに気が付きました。

なぜ?

検証用に使ったパソコン

Sony Vaio windows10 HOME ブラウザChrome ウイルス対策ソフトe-set

DELL Precision windows10 pro ブラウザChrome ウイルス対策ソフト ウィルスバスタークラウド

検証用に使ったサイトはhttps://media-method.jp Chromeで表示し、カギのマーク→証明書をクリック→証明書パスのタブを開く

Sony Vaio windows10 HOME ブラウザChrome

DELL Precision windows10 pro ブラウザChrome

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・

調べた結果、認証局の証明書は、

証明書チェーンは、使っているPCの環境で違う。ソフトウェア環境によって、証明の検証先でそれは変わる。

シリアル番号というのは、端末が利用するその認証局が、発行した証明書に、一意に付けられる番号。

 

端末が利用するその認証局=パソコンのコントロールパネル→インターネットオプション→コンテンツタブ→信頼されたルート証明機関 に格納されています。

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・

HTTPS化の作業では、ドメイン認証でディジタル証明書をもらい、サーバーにインストール。

ホームページを見ている人はサーバーから送られてきた証明書を公開鍵で復号しディジタル署名を確認することで通信相手の身元を確認し、

共通セッションカギを生成。共通セッションカギをお互いもつことで、暗号化したやりとりに続く。

kingssl HTTPS化 ドメイン認証で、ホームページがhttpsで、正しく表示されるまで。

認証局の絵を同じにしてしまっていますが、ディジタル証明書を発行してもらう認証局と、端末パソコンでアクセスする認証局はイコールではない。

理由:たくさんある認証局のなかで、取得した認証局で検証していると端末の動きが遅くなり、非効率であるという理由だから。

たくさんある認証局は、ディジタル証明書の有効期限をまとめたリストCRLへ問合せ、正しければ、アクセスした認証局がディジタル署名して検証し、チェーンして検証する。

 

証明書のブランドや種類によって暗号化過程に違いはない。(公開鍵の鍵長が2048bit以上の場合。)クライアント側からは内臓された証明機関に問い合わせが行われ、認証機関では、 OCSPレスポンダという失効状態のチェックを行うプロトコルを利用し回答が行われ、ポリシールールに従って、共通カギが生成され、通信が成り立つ。

証明書のブランドや種類によって暗号化過程に違いはない。(公開鍵の鍵長が2048bit以上の場合。)クライアント側からは内臓された証明機関に問い合わせが行われ、認証機関では、
OCSPレスポンダという失効状態のチェックを行うプロトコルを利用し回答が行われ、ポリシールールに従って、共通カギが生成され、通信が成り立つ。

 

証明書のブランドにこだわっても、閲覧者のパソコンに内蔵された証明機関へ問い合わせを行うことから、閲覧者側には、導入した企業が購入した証明書のブランドは、確認できない。

シマンテック、GeoTrust、RapidSSLのSSL/TLSサーバ証明書においてGoogleがポリシールールに意義をつけたように、Chrome がシマンテック社のルートを信頼停止する事例もある。再インストールを要求された事例はあり。