クライアント証明書をダウンロードしてクライアントコンピュータにインストールする方法

Question

https対応のウェブサイト（gmail、Facebook、オンラインバンキングなど）にアクセスしようとすると、クライアント証明書をダウンロードまたはインストールしないと思うので、 。

次に、マシンから送信された情報が適切に暗号化されていることを確認するにはどうすればよいですか？

ありがとうございました。

Answer 1

あなたがリストした例は、おそらくオンラインバンキングを除いてクライアント証明書を利用していません。

クライアント証明書は、自分自身を認証するためにクライアントとしてサーバーに送信するものです。これは、「双方向TLS」または「相互TLS」認証とも呼ばれます。
VPNサービスは、双方向TLSを使用する特に一般的な例です。ウェブ上では、通常、実際の人間が使用するためにセットアップして維持することはかなり困難です（ただし、一部の銀行はオプションとして提供しています）ので、サーバー間認証にのみ使用されます。

インターネット上のWebサイトの証明書は、手動でインポートすることなく有効であることをどのように知っていますか？答えはかなりシンプルです。すでにインストール済みです。ちょっとしたことです。
当然ながら、Web上のTLS対応Webサイトごとに証明書を実際に持っているわけではありませんが（不可能です）、WebブラウザにはルートCA証明書のセットが添付されています。

それは「信頼の連鎖」と呼ばれる仕組み、そして、それはこのようなものになる：

1. 事実上誰もが信頼されたルート証明書機関（CA）の限られた数がありますが。すべてのCAには、Webブラウザにあらかじめインストールされている1つ以上の自己署名「ルート」証明書があります。
2. ルートCAはルート証明書を使用して署名することによって、自身またはサブカテゴリ（例えば、再販業者、またはそれほど信頼されていないビジネス当局）に「中間」証明書を発行します。
3. 中間のCAは、エンドクライアント（ここではクライアントは証明書を購入するエンティティを指します）に個別の証明書に署名して発行します。これらは「リーフ」証明書と呼ばれます。

技術的には、中間CAはオプションで、リーフ証明書はルートCAによって直接署名できます。逆も同様です。複数の中間体が存在する可能性があります。

facebook.com、署名に使用された中間体と一緒にバンドルされたリーフ証明書を提供します。ブラウザは、サービスされた中間の証明書によってサービスされたリーフが署名されていることを確認し、（すべてのルート証明書が事前にインストールされているので）中間証明書がルートCAの1つによって署名されたことを検証し、 。

これは複雑で壊れやすい構造ですが、何とか機能し、今日は最高です。