少し話題になっていた、Let's EncryptでDST Root CA X3から発行されたISRG Root X1のクロスサイニング証明書が中間CA証明書として設定されるようになった話から、DST Root CA X3は2021年9月30日で切れるけど、トラストアンカーの証明書の有効期限は古いAndroidでは検証されないので使えるよという話題になり、トラストアンカーの証明書の有効期限って過ぎても使えるんですね!(トラストしているのは公開鍵だから)という話をしました。
- Let's Encryptのルート証明書切替周り(完結編) | おそらくはそれさえも平凡な日々 (songmu.jp)
- Yosuke HASEGAWAさんはTwitterを使っています 「こんな方法ありなのw「なんと、旧Androidはトラストストアに入っている証明書の有効期限検証をおこなわないため、2021年9月29日より後も証明書検証に成功するらしいのです。何ということでしょう…。」https://t.co/iWctgvbd31」 / Twitter
- https://twitter.com/kazuho/status/1387965341855219721 の想定回答 · GitHub
- RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile (ietf.org)
- Internet X.509 PKI Certificate and Certificate Revocation List (CRL) Profile (ipa.go.jp)
- Google Developers Japan: Google、HTTPS、デバイスの互換性 (googleblog.com)
- 料亭の味 白だし | フンドーキン醬油株式会社 (fundokin.co.jp)
01:03:22
コメント
こちらもおすすめ
-
26: LEの古いルート認証局が鍵破壊してなかった話、AppleとNetflixの話と、木村さんが通ったあとは何も残ってない話
ひとくちPKI
-
23: ひとくちPKI 出張版のお知らせとLet's Encryptの古いルートCA証明書が有効期限の満了を迎える話
ひとくちPKI
-
60: Let's Encryptのインシデント対応がすごい話とトラストチェーンが短くなる話
ひとくちPKI
-
43: TLS接続エラーのトラブルシュートが大変な話(えっAIA見てないの?編)
ひとくちPKI
-
9: 落穂ひろい回(Camerfirma CA、Apple CT Policy、Let's Encryptのクロスサイン証明書についてのその後)
ひとくちPKI
-
39: Mozillaがサーバ証明書のCRLは失効理由入りで出してほしいって、あと私たちなまってますよねの話
ひとくちPKI
スクロール