SSL/TLSライブラリの正しい使い方（もしくは、コモンネームの検証について）

スマホアプリの市場拡大に伴い、直接SSL/TLSライブラリを使用するプログラムを書く機会も増えてきている今日この頃かと思います。 SSL/TLSライブラリを使う際には、接続確立時にサーバの認証を正しく行う必要があります。具体的には、クライアントプログラムで以下の２種類の検証を行うことになります。 SSL/TLSライブラリがサーバの証明書の検証に成功したこと サーバの証明書に含まれるコモンネーム注1が接続しようとしたサーバと同一であること 前者については、OpenSSLの場合はSSL_CTX_set_verifyの引数にSSL_VERIFY_PEERを指定するなどして、ライブラリ側で処理を行わせることが可能です（証明書の検証に失敗した場合はSSL_connectがエラーを返します）。 一方、後者についてはSSL/TLSライブラリによって差があり、検証機能を有効にするために特別な呼出が必要だっ

[ockeghem]

ありがとうございます。コモンネームの検証をしていないアプリは結構ありそうな気がしますね

[estragon]

OpenSSLはコモンネームの検証機能を提供していないので、独自実装しないと第三者による別のSSLサーバの成りすましを可能にしてしまうというはなし

[moccos_info]

"OpenSSLはコモンネームの検証機能を提供していない"

[kyab]

この辺のCommon NameはレガシーになりつつあってSubjectAltNameになるかもって情報も見といたほうが良い。https://jp.globalsign.com/blog/2013/common_name.html

[naga_sawa]

SSL/TLSはCN検証まで提供していないので自前でやらないといけない

[tmatsuu]

GlobalSignの中の人がコモンネームはそのうち廃止するかもって言ってたよ。SubjectAlternativeNameを使えって→ https://jp.globalsign.com/blog/2013/common_name.html

[oldriver]

証明書の検証方法はRFC読む（真顔）。失効考えると登場人物が増えて面倒に。OpenSSLは使わなかったから知らんけど。

[habe0404]

SSL/TLSライブラリの正しい使い方（もしくは、コモンネームの検証について） Flipboard <http://flpbd.it/now>から送信 Hiroaki Abe hiroaki0404@gmail.com

[uunfo]

コモンネームの検証は必ずしも自動ではないのか。マルチドメインとか気が遠くなる。

[affec]

tec

[indication]

これはやってないねぇ。見直そう

[kasumani]

SSL/TLSライブラリの正しい使い方（もしくは、コモンネームの検証について） SSL/TLSライブラリを使う際には、接続確立時にサーバの認証を正しく行う必要があります。具体的には、クライアントプログラムで以下の２種類の

[ya--mada]

<q>SSL/TLSを使用するアプリケーションのコードレビューや検証にあたっては、コモンネームの確認を行っているかを検証項目に含めることが望ましいと言えるでしょう。</q>

[t-wada]

“たとえば、OpenSSLはコモンネームの検証機能を提供していない” "SSL/TLSを使用するアプリケーションのコードレビューや検証にあたっては、コモンネームの確認を行っているかを検証項目に含めることが望ましい"

[NOV1975]

クライアント証明書での認証とか経験ないとサーバ証明書はhttpsで接続できればいいんでしょー程度に思っちゃうかもしれない

[hirose31]

Subject Alternative Namesな証明書だと検証コードはもちっと複雑になるのかしら

[kazuhooku]

blogged / id:yuki_nekyo_nyan あざす！