フィールドおよび値の欠損または構成ミス

関連エラー

  • "証明書に AIA 情報が抜けています。これは CA/B Forum ベースライン要件に違反しています。"
  • "CA/B Forum ベースライン要件では、OCSP URL が必要です。OCSP は、証明書失効のチェックについて推奨される方法です。"
  • "[AIA]フィールドは、重大とマークされます。[AIA]フィールドは、 [CA/B Forum ベースライン要件]下では、重大としてマークする必要はありません。
  • "証明書に基本制約情報が抜けています。これは CA/B Forum ベースライン要件に違反しています。"
  • "最終団体証明書基本制約は Ca=true に設定されています。"
  • "証明書に TLS ウェブサーバー認証 EKU が抜けています。"
  • "証明書に EKU 情報が抜けています。これは CA/B Forum ベースライン要件に違反しています。"
  • "証明書にキー使用情報が抜けています。"
  • "証明書に、証明書ポリシーフィールドが抜けています。"
  • "証明書に将来の有効開始日が記載されています。"

問題

値が抜けたまま証明書を継続して使用すると、クライアントの機密情報が危険にさらされる可能性があります。必要なフィールドおよび値が記入されていない証明書は、ブラウザに警告が表示される原因となる可能性があります。警告により、サイトに接続したときにミストラストが生成され、クライアントがそのサイトを避ける原因となる場合があります。証明書にフィールドや値が抜けていると、これらのフィールドを探すようにプログラミングされたアプリケーションの正常作動を妨げる場合もあります。

自己署名証明書および CA が署名していない証明書には、必要な情報のすべてが記載されていない場合があります。また、暗号が十分ではない可能性があります。

業界基準では、認証局 (CA) が、これらの証明書を安全にするため、パブリックトラスト TLS 証明書に含めなければならないフィールドと値が定義されています。これらのフィールドと値により、CA は、オンラインセキュリティへの既存および将来の脅威に対処することができます。

対処方法

  • DigiCert など、トラスト認証局 (CA) が発行した証明書のみを使用します。
  • フィールドまたは値が抜けた、あるいは値が追加され、構成不正のフィールドを正しく構成した証明書をすべて再発行/更新します。