- 415 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/03/15(火) 16:35:36.26 0.net]
- >>399
CSR(含む公開鍵)が認証局に送られるけど、署名されるのは公開鍵だけっしょ
例えば、Let's EncryptのCAに下記のCSRを送ったとする
コモンネーム: 2cher-no-oresama.jp
組織名: 2cher Co LTE
部門名: BBS Service
市区町村名: Tubo-City
都道府県名: Osaka
国別番号: JP
公開鍵: 公開鍵情報グダグダと長文で列挙
すると、Let'sのCAはCSRの組織名・部門名・市区町村名・都道府県名・国別番号を全部無視(削除)して証明書を発行する
何故ならば、単なるDV証明書でドメイン名しか認証できないのでコモンネーム以外は無視・削除する(ジオトラストとかのDV証明書も同様)
ってことで、CAが署名するのはサーバの公開鍵だけだ
もしCSR全体を署名するとするならば、CSRの記載事項(組織名とか部門名)を認証局が改ざんできないことになるけど、
実際には認証局が勝手に変更したり認証していない項目を削除したりする
|
 |
