httpsの証明書まとめ
普段何の気なしに利用しているhttps。証明書の確認方法は複数あり、それぞれ対応しているクライアントが違う。まとめると以下のようなものがある。
・CNとホスト名が一致
最も一般的なパターンで、https://www.un-soft.jp/にアクセスした時に証明書のCNがwww.un-soft.jpとなる。これは恐らく100%のクライアントが対応している。
・ワイルドカード証明書
https://www.un-soft.jp/にアクセスした時に証明書のCNが*.un-soft.jpとなる。Microsoft Internet Explorer、Mozilla Firefox、Apple Safari、Google Chrome、OperaなどWebブラウザーであれば100%対応していると思われる。AndroidやiPhoneも問題ないだろうが、Windows Phoneは知らない。Windows Mobileも分からない。
・X509v3別名
https://un-soft.jp/にアクセスした時に証明書のCNはwww.un-soft.jpなのだが、これとは別にX509v3 Subject Alternative Nameという属性が証明書に含まれており、その中にある別名一覧の中にun-soft.jpがあれば名前チェックはOKとする方式。
一般的なWebブラウザーでは問題ないが、EclipseのプラグインであるSubversiveが利用しているSVNKitというJavaで書かれたSVNクライアントがこれに対応していないようだ。ぶっちゃけ今回このまとめを書くに至ったのもこれに気づいたからだ。CentOS6の標準リポジトリーにあるsvn1.6.11も対応していない? もちろん証明書の警告を受け入れてしまえば後は問題ない。
Windows用のSVNクライアントであるTortoiseSVNは1.6.16で対応している?
ちなみにWebブラウザーではないがMozilla ThunderbirdもSMTPS・POP3S・IMAP4Sの証明書として別名に対応している(SNIには対応していない模様)。
Subversive(SVNクライアント)やsvnコマンドは一般人が使うソフトではないし、ここでは警告出てもまぁいいかなという事でまとめだけして終わり。