りょうわ です。 こんにちは。 On Sun, 31 Mar 2002 10:48:33 +0900 Hideaki Ihara <hideaki@xxxxxxxxxxxxx> wrote: > IE は同じ 6.0 という面で考えると XP と Windows 2000 > では証明書の扱いが異なるんでしょうかね? どうやらそのようです。IE や Outlook Express の X.509 証明書の検証・有効 性確認処理に関しては、IE や Outlook Express というより Windows のバージョ ンによって差異があるということのようです。きっと Windows 証明書ストアと やらに関係しているのでしょう。 X.509 証明書 / CRL は、http://www.ietf.org/rfc/rfc2459.txt (日本語版は IPA の→ http://www.ipa.go.jp/security/rfc/RFC2459JA.html )にあるとおり に、公開鍵に付随するさまざまな情報を載せられるようになってます。 Windows 2000 と XP で今回の CRL を表示させてみると、2000 では、CRL 番号 と 発行配布点のところがそれぞれ「2.5.29.20」「2.5.29.28」と OID で表示さ れているのに対して、XP では「CRL番号」「発行する配布ポイント」ということ でちゃんと表示されています。証明書のほうでも、XP では拡張キー使用法で解 釈できる用途が随分増えているようですし。 ところで例の CRL で Critical 設定していた issuingDistributionPoint です が、RFC2459 的にはどうなっているかというと、Critical で設定するけど必ず しもサポートしなくてよいよ、みたいに書いてあります(RFC2459 5.2.5)。で、 アプリケーションは CRL 中に Critical なのに処理できないフィールドが現れ たときどうしろと書いてあるかというと、処理してはいけない、と書いてあるの で、たしかに処理は中断すべきなんですね。 ただし、その際にアプリケーションがユーザに何を通知すべきかなどについては 一切規定されていません。 だから今回の場合の 2000 の動作もあながち間違いというわけではないのでしょ う。 #しかしやはり、そのことをユーザに一切通知しない仕様っていうのはのはどう #かと思いますけど。 > だとすると [サーバー証明書の取り消しを確認する] の > チェックボックスには何の意味が.... 気休め? ところで、利用者アプリケーションがこのような過渡期の状況にあっては、なん とかシールサービスのようなものも、今のところそれなりの意味はあるという気 はしますね。 ----------------------------------------------- りょうわ あきら ryowa@xxxxxxxxxxxx
Attachment:
smime.p7s
Description: S/MIME cryptographic signature