kazuhooku https://blog.hatena.ne.jp/kazuhooku/ kazuhoのメモ置き場 https://kazuhooku.hatenadiary.org/ オレオレ認証局が忌避されるべきものとされてきた理由は、X.509 PKIが保証する安全性は、最も信頼性が低い認証局（trusted root）のそれに等しいからです。しかし、X.509 v3以降ではName Constraintsが導入され、「特定のドメインに対してのみ証明書を発行可能な認証局」を定義できるようになっており、同constraintをcritical key usage extension*1として宣言したルート証明書を安全な経路で配布、インストールすることができれば、上記のようなX.509 PKIの系全体に対する影響は発生しないことになります*2。ここで問題になるのは、どの程度… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fkazuhooku.hatenadiary.org%2Fentry%2F20131126%2F1385433092" title="オレオレ認証局の適切な運用とName Constraints - kazuhoのメモ置き場" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2013-11-26 11:31:32 rich https://kazuhooku.hatenadiary.org/entry/20131126/1385433092 1.0 100%