「クロスルート証明書」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「クロスルート証明書 とは、複数のルート証明書設定されている証明書です。クライアントに1024bitしか使えない端末があり...」)
 
(相違点なし)

2014年12月6日 (土) 01:16時点における最新版

クロスルート証明書 とは、複数のルート証明書設定されている証明書です。クライアントに1024bitしか使えない端末があり、純粋な2048bitの証明書が使えない場合がありました。2014bitが利用できる端末と1024bitしか使えない端末の両方をサポートするために2048bitのルート証明書と1024bitのルート証明書をサポートするクロスルート証明書が利用されました。

読み方

クロスルート証明書
くろするーと しょうめいしょ

概要

クロスルートとは、あるルート証明書から発行されたサーバ証明書を別のルート証明書が設定されているブラウザでも利用するための仕組みです。

EndEntity - 中間CA ------- Root A
              |
            クロスルート - Root B

Root A は持ってないけど、 Root B を所有しているクライアントは、Root B で検証します。

SSLサーバ証明書の鍵長の変更

SSLサーバ証明書は、以前はRSA512を使用していました。RSA512は、鍵長(暗号化キー)が512bitです。その後、RSA512には脆弱性が見つかり、解読可能となりました。 SSLサーバ証明書は、この問題を解決するために鍵長が1024bitに変更されました。 コンピュータの計算能力が向上し、1024bitも解読の可能性が高くなり、2010年には、1024bitから2048bitへ移行しました。

クロスルート証明書はなぜ必要だったのか

パソコンやスマホなどのクライアントには、多くの場合、ルート証明書があらかじめインストールされています。

ガラケーにもルート証明書があらかじめインストールされた状態で販売されていますが、簡単にルート証明書を追加・変更ができませんでした。1024bitしか扱えない端末のアップデートや交換などには、端末メーカーやキャリアのユーザのサポートコストが掛かります。

1024bitのルート証明書しか持たない端末は、2048bitの証明書の検証を失敗してしまいます。 そのため、クロスルート証明書が作られました。2048bitの証明書が検証できる端末は、2048bitで処理を行い、2048bitの証明書が検証できない端末はクロスルートの1024bitの証明書を検証して通信します。

1024bitのルートを使う場合、1024bitの脆弱性を抱えたままになり、望ましい状態ではありません。

関連項目