概要
信頼した証明書以外が正しく無効化されることを確認するために、信頼済みの証明書を無効化してみる話。
詳細
ブラウザのURLバーにある鍵マークからルート認証局が分かる。
今回はLet's Encryptで遊ぶので、その公式サイトからルート認証局を確認する。
ここで、Let's Encryptのルート認証局はISRG Root X1と分かる。
証明書はマシンに紐づくのでWindowsの管理する場所から証明書が確認できる。
操作は単純で、Windows + Rで出現するポップアップ画面にて「certmgr.msc」を入力し、Enter。
これで証明書の確認が出来る。
実は、DSTとISRGがLet's Encryptの認証局、見て分かるようにDSTは期限が切れているのでLet's Encryptを使って商用環境を動かしている会社ではちょっとした事件だったらしい。対応も面倒で信頼された認証局でも親の認証局が信頼されてないと駄目、的な事象があった。
そんなこんなで話を戻す。
取り敢えず証明書を無効化して接続できないねを確認したい。
「右クリック>プロパティ>この証明書の目的を全て無効にする」を選択
ブラウザで確認する場合はPCを再起、面倒ならcurlをすればすぐ確認できる。以下は確認した後に設定を戻した結果。
無効化した後は「信頼関係を確立できませんでした」で失敗。
戻した後は正常に接続できているので目的達成。
学び
変な認証局が勝手に入ってる!みたいなときに証明書を無効化する手段が分かった。
(多分セキュリティソフトとかが勝手にやってくれてるとは思うが…)
まあ気になったので仕方ない。