記事に頼るのではなく、自分で調べてみよう。 例えばFirefoxだと、ツール(T)→オプション(O)→詳細→暗号化→証明書を表示(S)→認証局証明書→「Comodo CA Limited」以下の証明書を選択→表示(V)→詳細(D)、の順で操作して、「証明書のフィールド」の中の「Extensions」以下に「CRL Distribution Points」が存在しているかどうかを調べる。 無ければCRLは機能していない。 存在していれば、中に書いてあるURLにアクセスし、ファイルをダウンロードする。 ダウンロードしたファイルに対して、
openssl crl -text -noout -inform DER -in COMODOCertificationAuthority.crl
ある意味仕方ないこと (スコア:1, すばらしい洞察)
証明書の発行者や証明書の管理者が
アホなことをやらかさない確かさ以上にはならない。
Comodoをサッと切れる体制ならよかったんだろうけど、
現実的なコストの範囲内でこういう事態に備えるのって
考えてみただけでも難しそうだなぁ。
# 値段が高ければアホをやらないという保証でもあれば
# 選ぶのも簡単なんだけどねぇ
Re: (スコア:1)
ただ少し記事をあさった範囲では、問題の業者の証明書がCRL入りしているかどうかは分からなかった。
あまり続くようならもちろんComodoのルート証明書を切るという判断はありだと思うけど、
問題のある再販業者が1つあったというだけなら、厳しすぎると思う。
これがEVSSLでなければという前提で。
…個人的には(お金を扱わないようなサイト向けで)あんまり検証しない代わりに安い証明機関はいてくれる方が嬉しい。
Re:ある意味仕方ないこと (スコア:2, 参考になる)
例えばFirefoxだと、ツール(T)→オプション(O)→詳細→暗号化→証明書を表示(S)→認証局証明書→「Comodo CA Limited」以下の証明書を選択→表示(V)→詳細(D)、の順で操作して、「証明書のフィールド」の中の「Extensions」以下に「CRL Distribution Points」が存在しているかどうかを調べる。
無ければCRLは機能していない。
存在していれば、中に書いてあるURLにアクセスし、ファイルをダウンロードする。
ダウンロードしたファイルに対して、 などとやってみると中身を見ることができる。
厳密には発行者を検証したり、CP/CPSを精査したり、ということをやる必要があるでしょう。
OCSPも調べてみるべきかも。