[mew-dist 27338] Re: gpgsm

[Kazu Yamamoto ( 山本和彦 )]

山本です。

> 結論は「PKIX (RFC3280) では version 3 であることを前提としている
> (4.1.2.1)から，x509v3 拡張(BasicConstraints とか KeyUsage)を持たない 
> version 1 の証明書の検証に失敗するのは仕方ない」ということです．

専門家に聞いてみました。確に 4 章だけよむと、そう読めるけど、Werner の
読み間違いだと言われました。

6 章を読めば分かりますが、証明書の検証は中間 CA のものだけに適応されま
す。ですので、中間 CA の証明書には、上記拡張が必要で、必然的に v3 でな
いといけなくなります。

しかしながら、trusted anchor は証明書ではありません。trusted anchor の
情報は、たまたま root CA の証明書として受け取っていますが、検証のときは
あくまで trusted anchor として扱い、証明書だとは考えません。ですので、
上記拡張は不要で、v1 でもよいとのことでした。

--かず