以前書いた記事の続き。サイトの暗号化に関する話です。
こんな記事ができました。ついでにZennはじめました。
結論としては、オレオレ証明をしようと思ったら「ルート認証局」「中間認証局」「サーバー証明書」の3つが必要でした。こいつらの関係は下記のような感じ。
サーバー証明書「オレがオレであることを中間認証局に証明してもらうぜ!」
中間認証局「オレがオレであることをルート認証局に証明してもらうぜ!」
ルート認証局「オレがオレであることをオレが証明するぜ!」
ユーザー「ルート認証局さん、ほんまに安全なん?」
ルート認証局「メーカーによって端末に予めインストールされている選ばれし認証局だから、たぶん安全だぜ!」(オレオレルート認証局の場合は自己責任だぜ!)
ユーザー「中間認証局さん、ほんまに要るん?」
中間認証局「ルート認証局さんだけだとパンクするから、オレたちが仕事を分担してるんだぜ!」
こんな感じだと解釈しました。合ってるかは分からん。
以下、前回の記事に書き連ねたことについての追記。
SANなしCNのみで動くのかは未検証。
TLD(localhost)でも動いた。
二段階のドメイン(www.localhost)でも動いた。
ワイルドカードで動くのかは未検証。
有効期限2年以上で動くのかは未検証。
2048ビットでも動いた。
Windowsは上手くいった。macOSは未検証。ChromeOSはルート認証局か中間認証局のどちらか一方をインストールすると、残る一方がインストールできなくなる謎現象が発生する。これも時間があれば調べたいけど、時間がないので保留中。このまま記憶から抹消されるに違いない。
とりあえずサイト暗号化のテストができるようになったので良しとします。これでようやく.htaccessの沼に足を突っ込めるぜ! 俺たちの戦いはまだまだ続く! かもしれない。
追記(2024年2月16日)
中間認証局なくても警告出ないかも。未検証。
ChromeOSは証明書チェーンで対応できるかも。未検証。
誰か試して教えて……。
追記(2024年5月28日)
中間認証局なくてもいけました。
ChromeOSは中間認証局も証明書チェーンもインストールできませんでした。何故。
戦いは続く。