ブラウザで任意のSSL証明書がドメイン認証かどうか判別する (DV証明書, OV証明書, EV証明書)

2022-02-25T22:51:29+09:00

ブラウザで任意のSSL証明書がドメイン認証かどうか判別する方法についてメモ。

確認方法

今回は Google Chrome (98.0.4758.102) で確認。手順としては次の通り。

朝日カーメンテナンス様HPを開く
URLバー横の南京錠🔓のアイコンをクリック
「この接続は保護されています　＞」をクリック
「証明書は有効です　↗」をクリック
証明書ダイアログの「詳細」タブをクリック
「サブジェクト」をクリック

ここで「サブジェクト」の内容が CN = www.example.jp のように CN しか存在しなければドメイン認証(DV証明書)。

逆にドメイン認証ではないパターンとして、例えば IPA(https://www.ipa.go.jp) は

CN = www.ipa.go.jp

# 略

O = Information-technology Promotion Agency, Japan
L = Bunkyo
S = Tokyo
C = JP

と CN 以外のプロパティも表示されます。

DV証明書はドメイン(コモンネーム=CN)しか確認しないことに対して、 IPA は組織の実在確認を行うEV証明書のため。

そのため、 Organization(組織)は Information-technology Promotion Agency, Japan 、Location は Bunkyo といったプロパティが付随しています。

この差により「DV証明書かそうでないか」という判別は付く、という寸法です。

備考

ただしこの方法は「DV証明書」と「それ以外(OV証明書、EV証明書)」を見分けることはできますが、「OV証明書」と「EV証明書」を見分けることはできない模様。

一部のブラウザではEV証明書ならばURLの横に組織名が表示されるのでそこで「OV証明書」と「EV証明書」を見分けることができそうですが、 Chrome では既に組織名を表示しなくなって久しいため、 Chrome で判別することは難しいと思われます。

また、ここまで書いておいて何ですが、手っ取り早く判別するならばWeb上のチェッカーを使用した方が早い気がします。

Check Website Security | DigiCert SSLTools

参考

Retrofit2で自己証明書のサーバへのアクセスできるようにする

2020-02-19T19:55:15+09:00

Retrofit2でオレオレ証明書なサーバにアクセスすると、
こんなエラーが出る。その時の対処方法の備忘録。

java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
    javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
        at com.android.org.conscrypt.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:361)

ソース

こんな感じ。Retrofit2の内部で利用しているOkHttpClientのカスタマイズし、
安全でない証明書でも許可するように変更する。

開発中など一時的な感じで使う。

import com.google.gson.FieldNamingPolicy;
import com.google.gson.Gson;
import com.google.gson.GsonBuilder;

import java.security.cert.CertificateException;
import java.util.concurrent.TimeUnit;

import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSession;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;

import okhttp3.OkHttpClient;
import okhttp3.logging.HttpLoggingInterceptor;
import retrofit2.Retrofit;

public class ApiClientFactory {

    // ApiClientを生成する処理
    public ApiClient getApiClient(String baseUrl) {
        return new Retrofit.Builder()
                .baseUrl(baseUrl)
                .client(getHttpClient())
                .build()
                .create(ApiClient.class);
    }

    private OkHttpClient getHttpClient() {
        HttpLoggingInterceptor interceptor = new HttpLoggingInterceptor();
        interceptor.setLevel(HttpLoggingInterceptor.Level.BODY);

        // return new OkHttpClient.Builder()
        // 通常のBuilderの代わりに、カスタマイズしたBuilderを使う
        return getUnsafeOkHttpClient()
                .readTimeout((15 * 1000), TimeUnit.MILLISECONDS)
                .writeTimeout((20 * 1000), TimeUnit.MILLISECONDS)
                .connectTimeout((20 * 1000), TimeUnit.MILLISECONDS)
                .addInterceptor(interceptor)
                .build();
    }

    private static OkHttpClient.Builder getUnsafeOkHttpClient() {
        try {
            // Create a trust manager that does not validate certificate chains
            final TrustManager[] trustAllCerts = new TrustManager[]{
                    new X509TrustManager() {
                        @Override
                        public void checkClientTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
                        }

                        @Override
                        public void checkServerTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
                        }

                        @Override
                        public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                            return new java.security.cert.X509Certificate[]{};
                        }
                    }
            };

            // Install the all-trusting trust manager
            final SSLContext sslContext = SSLContext.getInstance("SSL");
            sslContext.init(null, trustAllCerts, new java.security.SecureRandom());

            // Create an ssl socket factory with our all-trusting manager
            final SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();

            OkHttpClient.Builder builder = new OkHttpClient.Builder();
            builder.sslSocketFactory(sslSocketFactory, (X509TrustManager) trustAllCerts[0]);
            builder.hostnameVerifier(new HostnameVerifier() {
                @Override
                public boolean verify(String hostname, SSLSession session) {
                    return true;
                }
            });
            return builder;
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
    }
}

こんなのつくってます!!

積読用の読書管理アプリ『積読ハウマッチ』をリリースしました！
積読ハウマッチは、Nuxt.js+Firebaseで開発してます!

もしよかったら、遊んでみてくださいヽ(=´▽`=)ﾉ

要望・感想・アドバイスなどあれば、
公式アカウント(@MemoryLoverz)や開発者(@kira_puka)まで♪

「SSL」の記事 - Crieit

ブラウザで任意のSSL証明書がドメイン認証かどうか判別する (DV証明書, OV証明書, EV証明書)

確認方法

備考

参考

Retrofit2で自己証明書のサーバへのアクセスできるようにする

ソース

こんなのつくってます!!

参考にしたサイト様