先日あったルート証明書の微修正がよく分からないので調べてみた
先日ルート証明書の authroots.sst のファイルが微妙に更新されていたのですが
・登録数が変わらない
・登録内容も変わらない
・そもそも、authrootstl.stl は更新されていない
ということが分かりました
何が変わったのが詳しく調べてみたところ
CERT_FRIENDLY_NAME_PROP_ID
WoSign 1999
の証明書のプロパティが
CERT_DISALLOWED_FILETIME_PROP_ID = 00 80 24 ee d1 12 d2 01
これFILETIME構造体なので変換すると
2016/9/20 となってるので、このWoSign 1999の証明書が9/20で無効になってるという訳ですね
中国最大級の認証局「WoSign」がニセの証明書を発行していたことが判明 - GIGAZINE
あ、これ?
WoSign Root Certificates Information-WoSign SSL Certificates!
| This root CA is used for cross signing to WoSign Roots only, WoSign don't use it to issue intermediate CA certificate and end user certificate. Use from May 17, 2013 to Dec. 31, 2013. Common Name: Class 1 Primary CA (Friendly name: WoSign 1999) Serial Number: 00:86:fe:1d:5f:c3:81:f8:47:d7:33:2c:73:94:75:7b:37 Signature Algorithm: SHA1 RSA Public Key Length: 2048 Bits (RSA) Validity Period: July 08,1999 -- July 07, 2020 Certificate Fingerprint (SHA-1): 6a:17:45:70:a9:16:fb:e8:44:53:ee:d3:d0:70:a1:d8:da:44:28:29 Download (.crt): WoSign 1999 (SHA1) |
と思ったけど違う。また別の問題の様だ
そもそも、2013年には失効していないといけない証明書なのになぜか有効になってる
Windows 7の certutil.exe ですら CERT_DISALLOWED_FILETIME_PROP_ID を不明なプロパティと返すので、そもそも、DISALLOWEDになってるかすら疑問だ
うん、だめだ、機能してない
手動で信頼しない証明書に入れないとダメ
色々調べてみて思ったんだけど、IEのルート証明書は信用に値しない。Windows 7であってもだ。
FirefoxやChromeでは常に公的な最新版のルート証明書の失効リストなどを取ってくるが、Microsoftの場合サボり気味で、FirefoxやChromeでブロックされるサイトが見えてしまう。
Translate
今ふと思ったんですけど、Edgeってどこで証明書を管理してるんでしょうかね?
なんか設定とかには無さげなんですが。
IEと共有?、いやいやまさかまさか・・・?
いや、普通に IEと共有だと思いますよ
レジストリ がそもそもIE配下ではないですし
即座に無効化すると「動かねえぞゴラァ」というクレーム来る可能性あるから、なのかも知れませんが、、こういうのはさっさとやってほしいと思いますね。
あとWoSignですが、ソフト入れてない10とOS再インストール&アプデのみの7には存在しませんでした。
今は StartCOM のルート証明書配下になってるので、
StartCOM がルート証明書に入っていれば自動的に WoSign の証明書が信頼されます