証明書検証
[ポリシー] > [HTTPS ポリシー] ページ > [証明書検証] パネルに移動します。[設定の変更はここをクリックします] をクリックします。
|
セキュリティ効果を高めるため、[...ユーザーによるオーバーライドを許可] 以外のすべてのオプションを選択しておくことが推奨されています。 |
情報...
-
証明書が信頼できないサイトは ブロックされます
サイトへのアクセスには、証明機関が発行した信頼できる証明書が必要です。このオプションを選択して、信頼できる証明書を持たないサイトをブロックします。
-
証明書が失効しているサイトは ブロックされます
このオプションを選択して、証明書がその発行機関によって取り消されているすべてのサイトへのアクセスをブロックします。
-
証明書が期限切れのサイトや証明書の用途が異なるサイトは ブロックされます
このオプションを使用して、証明書チェーンに期限切れの証明書が含まれているサイトへのアクセスをブロックします。期限切れの証明書が CA 証明書であったとしても、ブロックされます。証明書の用途が異なる (証明書の用途が正しくない) 場合に、サイトへのアクセスをブロックすることもできます。
「証明書の用途が異なる」とは、証明書の CA とサーバーの、キーの使用法 (Key Usage - KU) と拡張キーの使用法 (Extended Key Usage - EKU) とが、必要な条件に一致しない状態を示します。
表示
検証ポリシーの内容は、検証する証明書のタイプと、その証明書のキーの使用法の有無によって異なります。証明書のタイプによる、キーの使用法の検証ポリシーは次の表のとおりです。
キーの使用法 (KU) の検証ポリシー
証明書 KU がない場合 KU がある場合 証明機関 (CA) 許可 証明書署名がない場合は、ブロック サーバー 許可 デジタル署名がない場合は、ブロック
証明書署名がない場合は、ブロック
拡張キーの使用法 (EKU) の検証ポリシー
証明書 EKU がない場合 EKU がある場合 証明機関 (CA) 許可 許可 サーバー 許可 TLS Web サーバー認証がない場合は、ブロック
-
証明書の URL が一致しないサイトは ブロックされます
サイトの中には、その証明書の SAN (Subject Alternative Name - 代替えの件名) が、サイトのホスト名と一致しないものがあります。このオプションを使用して、証明書の URL が一致しないサイトをブロックします。証明書に SAN がない場合は、証明書の CN (Common Name - 共通名) がチェックされます。
-
証明書内のワイルドカードの一致を許可します
証明書の SAN、または、CN に、ワイルドカードがある場合のオプションです。たとえば、SAN が *.my.domain であれば、このオプションを選択することで、その SAN とホスト名 in.my.domain とが一致するようになります。このオプションを選択すると、証明書の URL が一致しないサイトに対して設定したアクションから、すべての有効な一致が抽出されます。
ワイルドカードによる一致に使用できるホスト名は、1 つだけです。たとえば、証明書の SAN が *.my.domain の場合、home.in.my.domain とは一致しません。
-
-
証明書の認証が失敗したサイトへのアクセス ブロックの、ユーザーによるオーバーライドを許可 します
このオプションを使用して、証明書の認証が失敗したサイトへのアクセスをユーザーに許可 します。[キャッシュのオーバーライド] で、サイトの検証のオーバーライドを許可する期間を指定することができます。