maidsphere

A quantization noise whispers through the net.

無効なSSL証明書が導入されているサーバ

May 18, 2015 21:59:44 JST

SSL/TLSのクライアントが,失効していたり無効だったりする証明書を正しく無効か判断しているか確認したい場合に使えるサーバの一覧. できるだけ「意図的に」設定されているサーバを選んでいるつもりなので,当分は使えるはず.

失効 (Revoked)

https://revoked.grc.com/

証明書が失効リスト(CRL)に登録されている.

Public key pinning (HPKP)

https://pinningtest.appspot.com/

Webサーバから送られてきたSSL証明書と,HTTPヘッダで指定された証明書のハッシュが一致しない.

期限切れ (Expired)

https://testssl-expire.disig.sk/

証明書の有効期限が切れている.

中間証明書がサーバから送られていない

https://expired.identrustssl.com/

トラストチェーンがつながっていない. ちなみにこのサーバの証明書は有効期限も切れている.

ドメイン名不一致

https://www.jma.go.jp/

有名どころで背後にCDNがあるサイトにHTTPSでつなぐと非常に高い確率で出会える.

自己署名

自分で作るべし.


おまけ

証明書は無効ではないが,鍵のアルゴリズムにRSA以外を使っているサーバ.

DSA

https://ssltest-dsa.jp.websecurity.symantec.com/

接続にDSSのCipher suiteが必須. 最近のブラウザでは接続すらできない.

ECDSA (ECC)

https://comodoecccertificationauthority-ev.comodoca.com/

もしくはCloudFlareのUniversal SSLを使っているサイトでも可.

一時期に比べると爆発的に増えてきているので,意識せずともECCの証明書を利用している可能性は高い. ただし,トラストチェーンのルート証明書を含めたすべての証明書にECCを使っているのはまだ多くない. Googleなどの多くのサイトは,末端のサーバ証明書はECCでも,中間証明書やルート証明書は依然としてRSA. いっぽうで,上述のサイトやCloudFlareはチェーン上の証明書がすべてECCというパスがある.