ssl証明書が頻繁に変更されると、java-httpsプログラムによる接続が妨げられます。

Question

私は私がすべてのこのdone.WhatでのHTTPコンポーネントライブラリを経由して接続することができるよなどkeytoolを使用して私の店に証明書をインポートについて

stuff.Iはここでさまざまなリソースを追った証明書に精通していませんよ通知は、日常または削除すなわち、すべてこのようなものをやり直す証明書のようなものがすなわち

openssl.exe s_client -connect amazon:443 >public.crt 

-----BEGIN CERTIFICATE----- 
MIIE/zCCA+egAwIBAgIIGtXQnQA......... 
-----END CERTIFICATE----- 

、それはPKIX error.Iで失敗したときにこの問題が発生した後、持っているを使用したOpenSSLから取得し、このコンテンツを 変化し続け、数日の時間であります私のキーストアの既存のエイリアスを取得し、証明書を再インポートします。

私はここで何か間違っていますか？今は私がやっているテストですが、このアプローチを本番環境で使用しなければならない場合は、この行を進めることはできません。

助けてください。

Answer 1

自分の組織内のサーバー、または自己署名付き証明書を使用する密接に関連したサーバーを除いて、手動で（証明書にインポートする）葉の証明書を信頼する必要はありません。まれにCA（ルート）証明書を追加してインポートする必要があります。

'amazon'は本当にサーバーを識別しません。あなたが世界的な会社[www。amazon.com]を意味するならば、彼らはただ一つのサーバを持っているのではなく、同じ証明書を同じ時間に使っているかもしれないし、違う時に何百、何千もあるかもしれません。 OT1H https://www.ssllabs.com/ssltest/analyze.html?d=www.amazon.comは現在52.84.239.51にありますが、米国の別の地域では別の住所が表示されていますが、両方とも（現在）SHA256指紋6aa0ab97d0f9f1505896313be2372dc394bd427757f6bdb62dde80ed54d4190dで証明書を使用しています。 OTOH透明度ログhttps://crt.sh/?q=amazon.comには、さまざまなAmazonサイトの（ドメイン名の）異なるサブセットに対する12の現在有効な証明書が表示されます。特にメキシコとブラジルは何らかの理由で自分の証明書を持っています。これらはすべてシマンテックのものであり、おそらくVeriSign Class 3 Public Primary Certification Authority-G5と連鎖しているので、記録ごとに2011年の6u24以降、Sun/Oracle Javaリリースの組み込みのCacertsで検証する必要があります。私は知らないし、OpenJDKのためにあなたのpackager/builderに依存するかもしれませんが、合理的に最新のシステムにはVerisignC3G5が必要です。そうでなければ、特に問題を修正することができます。

OT3H誰かがあなたのDNSを中毒または偽装していて、実際にデータを盗んだり変更した犯罪者から証明書をインポートしたり、接続している可能性があります。セキュリティ問題を無視してセキュリティ問題を「修正」することの欠点です。

何が起こっているのか把握したい場合は、実際に信用していない証明書を実際に見てみてください。特に、透過性ログの証明書と一致するかどうかを確認してください。 。 Amazonには、（シマンテック以外の誰かから）ログに記録されていない追加の証明書がある可能性があります。そのような重要かつ重要な会社にとっては疑いがあります。