自堕落な技術者の日記

基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通

Windowsルート証明書の更新プログラム

Windowsルート証明書の更新プログラム(2009.11)

前回の9月のに引き続き11月もルート証明書の更新があったのをすっかり忘れていました。

何が追加されたのか(今回も現実逃避モードで)調べてみました。前の9月から2ヶ月しか経っていないので、たった7つしか増えていません。

認証局発行組織
ipsCA Main CA RootipsCAスペイン
ipsCA Global CA RootipsCAスペイン
Autoridad de Certificacion Firmaprofesionalスペイン
CCA India 2007India PKIインド
Autoridade Certificadora Raiz Brasileira v1ICP-Brasilブラジル
Security Communication RootCA2SECOM Trust Systems日本
Entrust.net Certification Authority (2048)Entrust米国

スペイン多いですね。インドっていうのがやる感じです。他はノーコメントで(^^;

Windows Updateから情報を辿ると2009年2月のアップデートと同じ情報が表示されるんですよね。ルートが更新される場合には何が追加になったのかきちんと公開して欲しいなぁ、、、と思います。

リンク

マイクロソフト:ルート証明書の更新プログラム[2009 年11月](KB931125)

Windowsルート証明書の更新プログラム(2009.09)の続き

随分前のブログにWindowsルート証明書更新プログラムの事を書いたわけですが、iPhoneのルートってどうなんだろうと思って調べているうちに、そもそも、このWindowsのプログラムで登録されているCAの数っていくつなんだろうと思ったわけです。

WindowsのCAのまともな資料はこれになります(PDF)。

一つ一つ数え上げるのも大変なので、一旦PDFをテキストに変換してハッシュアルゴリズムでカウントすることにしました。

署名のハッシュアルゴリズム
MD211
MD541
SHA1231
SHA21
SHA25615
SHA3844
総数303

というわけでWindowsルート認証機関として登録されている認証局の総数は303なようです。

では、iPhone (3.0 or 3.1)はというと328みたいです。30程度増えちゃってますね。どんなとこが増えているのか機会があったら紹介したいと思います。

ではでは

<追記>

  • ちらっと見たところ公的個人認証のブリッジとか、米国DoDのブリッジとかが入っているようですね。ブリッジを直接信頼するのはちょっと違和感ありますね。
  • iPhone OS 3.0のルート認証局数を331→328に訂正

Windowsルート証明書の更新プログラム(2009.09)

今日もやることがあるにもかかわらず、現実逃避モードで、、、

以前Twitterでつぶやいたように2009年9月21日にWindowsのルート証明書がWindows Updateにより更新されました。どのような変更があったのか調べてみました。

ルート証明書の更新プログラム [2009 年 9 月] (KB931125)

今回の更新で26のルート証明書が勝手に追加されました。

ルート認証局名国名
A-Trust A-Trust-Qual-03オーストリア
AC RAIZ FNMT-RCMスペイン
ACEDICOM Rootスペイン
Actalis Authentication CA G1イタリア
AddTrust External CA Rootスウェーデン
Correo Uruguayo Root CAウルグアイ
Certeurope Root CA 2フランス
Certum Trusted Network CAポーランド
Chambers of Commerce Root - 2008欧州連合
Entrust Root Certification Authority - G2米国
GeoTrust Primary Certification Authority - G2米国
GeoTrust Primary Certification Authority - G3米国
Global Chambersign Root - 2008欧州連合
Microsec e-Szigno Root CA 2009ハンガリー
Posta CA Rootセルビア
SCEE ECRaizEstadoポルトガル
Secretaria de Economia Autoridad Certificadoraメキシコ
SecureSign RootCA11日本
Sertifikacijas pakalpojumu dala E-ME SSI RCAラトビア
StartCom Certification Authorityイスラエル
TWCA Root Certification Authority台湾
TWCA Root Certification Authority台湾
Thawte Primary Root CA - G2米国
Thawte Primary Root CA - G3米国
VeriSign Class 3 Public Primary Certification Authority - G4米国
VeriSign Universal Root Certification Authority米国

多分EVのルートがRSA2048bit以上にしなきゃいけなくなったのが理由で、大手の認証サービスでルートが更新されているのと、ウルグアイ、セルビア、ラトビア、台湾なんかが追加されているのが特徴的ですかね。

FireFoxでは先にルート登録されていた格安のStartComもこの度Windowsに登録されるようになりました。

今、自分のマシンには317ものルート認証局が登録されちゃってるわけですが、本当にこれって、このまま信頼しちゃっていいんですかねぇ?

追記 2009.10.13

Microsoftから「Windows Root Certificate Program Members (PDF 936KB) 2009.09.22」という文書が公開されているようです。

Windowsルート証明書の更新プログラム(2009.02)

Microsoft ルート証明書プログラムのメンバ (2009 年 2 月)
ルート証明書の更新プログラム。この更新プログラムは、コンピュータにあるルート証明書の一覧を、Microsoft ルート証明書プログラムの一部としてマイクロソフトが承認した一覧に更新します。下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
rootsupd.exe パッケージ
リリース日 : 2009 年 2 月24 日


2009年2月24日にWindowsのルート証明書の更新パッケージが公開されたそうで、Windows Updateでも更新できるようになっているので、更新の前後でどんな感じか見てみました。

#そのために、現状の信頼するルート認証機関を全てごっそりファイルに落とすプログラムを作ったりもしました。

update02_



インストールはフツーにWindows Updateの「追加選択(ソフトウェア)」から選択してインストールすることができます。

テストしたマシンでは今まで一度もルートの更新はした事がないような気がします。余分なテスト用のプライベートCA、社内プライベートCAなど削って計算してみるに、




2009年2月のルート更新前118ルート認証局
2009年2月のルート更新後282ルート認証局


となりました。セットアップしてから途中Windows Updateとかでルートを更新したことが無いと思うにしても、この増え方は尋常ではありませんね(^^;特に怪しい国のCAが異常に増えちゃったような気がします。

ETSI ESI会議の中でもEUでEV証明書を発行するための標準(TS)を独Teletrustなんかが中心にやっているんですが、そもそも怪しい国のCAの審査ってどうするの?そもそも信じられるの?みたいな意見はやっぱり出てました。

調べたマシンはデモにしか使ってなかったマシンなので、ルート証明書の更新プログラムは一度もやっていなかったのかもしれません。(総務省ルートも無いし、、、、)

今回のアップデートで無くなってしまったルートCAはフランスとスイスの次のCA。

・CN=Certiposte Classe A Personne,O=Certiposte,C=FR
・CN=Certiposte Serveur,O=Certiposte,C=FR
・CN=Swisskey Root CA,L=Zuerich,OU=Public CA Services,OU=008510000000500000192,O=Swisskey AG,C=CH


ちなみに、スイスとノルウェーの下の2つはEVのCAなったんだそう、、、、

CN=SwissSign Platinum CA - G2, O=SwissSign AG, C=CH
CN=Buypass Class 3 CA 1, O=Buypass AS-983163327, C=NO


追加されたルートCAを国別に数を調べてみました。

2009.02のルートの更新で追加された国別認証局数



8割近くは入れる必要無いんじゃないっすかね?(^^;

総務省のアプリケーションCAは我々日本人も使うからいいんですが、他の怪しい国のルートなんか入れておくと、変なSSL対応のフィッシングサイトに誘導されたりしてロクなことにならないんじゃないですかね。

280認証局もあると、これまでの少なかった時以上にそれらの認証局が横並びで等しく信用できるか非常に怪しいですよね。

Microsoftが信頼するルート認証機関に入れたものは、例え個人が削除してしまったとしても、Windows Updateで再度インストールされ復活してしまうんだそうです。

もうそろそろ、個人の設定で自分に無関係そうなルート認証局や、審査が甘そうだったり、MD2やMD5で運用がちゃんとしてなさそうな認証局はチェックボタンなんかで使えなくしておけるような機能がWindowsにも必要な時期に来ているのでは、、、と思っています。

ちなみにルート更新後、使われているハッシュアルゴリズムの割合はこんな感じ、、、

グラフ-ハッシュ



SHA2の利用もちょっと始まっています。

SHA256: NetLock Platina (Class Platinum) Fotanusitvany/HU
SHA256: NetLock Arany (Class Gold) Fotanusitvany/HU
SHA256: Staat der Nederlanden Root CA - G2/NL
SHA384: COMODO ECC Certification Authority/GB


次に署名アルゴリズムと鍵長で見てみるとこんな感じ、、、、

count_sigalgグラフ



SHA1withRSA 2048bit が主流なんですが、RSA 4096bit が思いの他あったり、SHA256、SHA384 なんていうのも出てきています。唯一のSHA384withECDSA 384bit っていうのは、COMODO ECC Certification Authority なんですが、ECDSAにしてはかなり鍵長が長い方の384bitが使われているのと楕円曲線パラメータはANSIのぐらいしかよく知らなかったんですが"secp384r1"というSECG(Standards for Efficient Cryptography Group)SEC 2: Recommended Elliptic Curve Domain Parametersで定めた"Recommended Parameters secp384r1"を使っています。そもそも、この証明書フツーはXPで扱えないっすよね。

comodo_ecdsa



ルート証明書の有効期間の年数の分布はこんな感じ、、、

out



20年物、次いで10年物が主流ですが、長いのでは25年、30年なんていうのもそれなりにあるようです。

<追記2009.04.04>
・署名アルゴリズム、有効期間について追記

Windows95の信頼するルート認証機関

随分前にちょっと調べて放置プレイになっていたヤツを少し整理みようと思います。

・Microsoft Windows 95 OSR2 4.00.950 B
・Internet Explorer 4.0 4.72.2016.9

という古ぅ〜〜い、古典的な環境に含まれる信頼されるルート認証機関(30認証局)を調査し表にしてみました。いや〜〜、Windows 95の環境を手に入れるのが結構骨で、当時は信頼するルートもフォルダにKey blob形式のファイルがぽっとおいてあるだけだったので、Key blobから証明書をひっこぬくプログラムも合わせて作ったんだと思います、確か、、、

まとめた表は以下のようになります。

Windows95のルート証明書



気がついたのはこんなとこ、、、、

  • 未だに有効期限がある認証局がある

  • 未だ有効なものでWindwos XPに現在も含まれるものと、
    そうでないものがある

  • 署名アルゴリズムはmd2WithRSAもしくはmd5WithRSAである

  • 鍵長がRSA 1000bitの鍵を使っているものがある

  • X.509証明書のバージョンがV1のものと拡張領域を持つV3がある

  • 基本制約を持たないX.509 V3証明書がある

  • CN(commonName)を拡張領域に持つ証明書がある

  • 認証局の主体者DNにEmailAddressを持つ証明書がある

  • 当時30認証局だったものが今は130認証局近くになっている



1997年頃当時の面影を知ることができ、なかなか良かったです。ハイ。

こういう情報はちゃんと国会図書館とか公文書館とかデジタルアーカイビングして公開したらいいんじゃないかと思うんですけどね、、、、長期保存では過去のトラストアンカの情報が必要になるので、、、、、、
最新記事
Categories
Archives
Twitter
記事Google検索

本ブログ内をGoogle検索
Yahoo!アクセス解析
Travel Advisor
記事検索
QRコード
QRコード
  • ライブドアブログ