web-dev-qa-db-ja.com

デプロイされたWebアプリケーションに対する証明書の検証レベル(またはクラス)の影響は何ですか?

証明書は、クラスレベル(または検証レベル)を持つことができます。デプロイされたWebアプリケーションに対するこれらのレベルの影響は何ですか?

すなわち:

  1. 証明書レベルは証明書自体に含まれていますか?

  2. レベル1の証明書を使用して、有料サービスを含むWebアプリケーションを展開できますか?

  3. Webサイトの証明書が低すぎる場合、ポップアップがユーザー側に表示されますか?はいの場合、どのレベルですか?

ありがとう。

4
  1. 証明書レベルは通常、証明書で確認できます(例:StartCom無料の証明書) サブジェクトDNにOU=StartCom Free Certificate Member, O=Persona Not Validatedがある —どうやらもう(以下を参照)、別の中間CA証明書がさまざまなレベルで使用されています)。ただし、少なくともFirefoxでは、この情報をブラウザーUIで簡単に利用することはできません(多くの技術情報を含む証明書プロパティウィンドウにアクセスするには、それを表示する必要があります)。 EV証明書のみが明確に示され、EVの下のすべては基本的に同じように扱われます。

    公的に信頼された証明書の発行と管理のためのCA /ブラウザフォーラムベースライン要件 (2011年11月22日に採択されたバージョン1.0、有効日は2012年7月1日)2つの証明書ポリシー識別子を指定します。 ID検証レベルをアサートするためにCAによって使用されます。

    • 2.23.140.1.2.1 —ドメイン検証のみが実行されました。
    • 2.23.140.1.2.2 —サブジェクトIDは、証明書を発行する前に検証されました。

    少なくともStartComは、新しく発行されたClass 1証明書で2.23.140.1.2.1を使用し、サブジェクトDNに人間が読めるOU=StartCom Free Certificate Member, O=Persona Not Validatedを含まなくなりました。ただし、現在、ブラウザは証明書情報を表示するときにこれらのポリシーOIDに注意を払っていないようです(例: Mozillaバグ#740571 がまだ開いています)。

  2. 商用目的でレベル1の証明書を使用することは、CAポリシーに反する場合があります。ドメイン名が明らかに商用利用を示唆している場合、CAは証明書の発行を拒否したり、ポリシーに違反したために後で証明書を失効させたりする場合があります。

  3. 証明書が有効である(有効期限が切れていない、対応するルート証明書が信頼されている、信頼チェーンの検証に問題がなく、失効チェックに成功した)場合、証明書の検証レベルに関係なく警告ポップアップは表示されません。

4
Sergey Vlasov