X.509証明書の検証手順とありがちな脆弱性 - Qiita御社におかれてはTLSスタックのテストは十分に実施しておられますか。拙稿改造する人のためのJSSEをお読みになった御社はもちろんばっちりだと思いますが、世の中では相変わらず不十分なテストと脆弱なコードが溢れかえっている今日この頃です。そんなわけで本稿のお題は証明書の検証! 基本的な仕組みを復習する 証明書の検証というのは具体的に何をするのかを復習します。以下の説明では、TLSサーバ証明書をクライアントで検証するケースで説明します。これ以外のケース(TLSクライアント証明書をサーバ側で検証するとか、コードサイニング証明書を検証するとか)は、適宜読み替えてください。 証明書チェーン(候補)の構築 TLSのServerCertificateメッセージで、サーバ証明書がダウンロードされて来るわけですが、まずは証明書のSubjectフィールドとIssuerフィールドに注目し、下位証明書のIssuer
