In article <YAS.04Oct6022045@kirk.is.tsukuba.ac.jp>,
 yas@is.tsukuba.ac.jp (Yasushi Shinjo) writes:
> In article <squmzz9xyob.fsf@stellar.co.jp>
>    manmos@stellar.co.jp (Hideo "Sir MaNMOS" Morishita) writes:
> > 認証局のサインが必要なことはご理解いただけているんですね。
> 
> 認証局が必要なのは、OpenSSLの制約ですが、本当はおかしいんじゃ
> ないですかね。Java だと認証局なくても SSL でプログラムが書け
> ます。

いえいえ、OpenSSLの制約でさえないんです。SSLの初期化でどうするかだけの
話なので。実際、元の質問者氏は、「サーバ証明書のverifyを行わない設定な
らば接続が出来るのですが、そうでない場合にはどうしたら良いか」ってお話
でしたし。

私も、ちょっとした実装の場合、面倒くさいのでサーバ証明書のverifyをとっ
ぱらったコードを書くことは少なくないです。

> なんでおかしいかというと、認証局が正しいかどうかは、結局、ファ
> イルに入っている証明書を信用しているからです。ファイルを信用
> するなら、認証局でなくても信用していいはずです。次の2つの違
> いは、何かありますか。
> 
> (1) ファイル−>ルート認証局−>中間認証局−>サーバの証明書
> (2) ファイル−>サーバの証明書

すみません、この最初の「ファイル」は何を差すのでしょう?特に2番目。

認証局証明書をダイナミックにとってくることはそんなにないのですが、サー
バ証明書は接続の度にやってきますよね。

結局、データとともにやってきた証明書(公開鍵)をどのような形で信用するかっ
てのが、公開鍵暗号系の一つの形のキモなわけですが、PKIでは一般社会での
信用を元にした認証局がサインしたものっての頼るしかないんですって話をし
たかったわけです。

ま、それだけだったら単純なのですが、中間認証局とCRLの矛盾点にはまると、
ドツボに陥ります。

先日も、pkixな人々と「どうしたもんかねぇ」と議論したのですが、『標準』
は見つからず、まあ、考えうる限りの実装をしてみたり。

わたしゃ、認証屋でPKI屋じゃないんだが…

-- 
   ___     わしは、山吹色のかすてーらが大好きでのぅ
 [[o o]]            ふぉっふぉっふぉ
   'J'     森下 お代官様 MaNMOS 英夫@ステラクラフト
PGP Finger = CD EA D5 A8 AD B2 FE 7D  02 74 87 52 7C B7 39 37