天泣記

2012-07-11 (Wed)

#1

ふと思い立って、利用しているレンタルサーバ (CORESERVER) で FTPS が使えるか試してみたところ、微妙によろしくないようだ。

CORESERVER は以下のアナウンスにあるように、ちゃんとした証明書を使って FTPS を提供している。

POPS/SMTPS/IMAPS/FTPSでの正式な証明書の提供開始について

しかし、試してみると動かない。

% lftp -d
lftp :~> set ftp:ssl-force yes
lftp :~> open s1-xrea-com.value-domain.com
---- ホストアドレスを解決しています...
---- 1 address found: 203.189.104.101
lftp s1-xrea-com.value-domain.com:~> user foo bar
lftp foo@s1-xrea-com.value-domain.com:~> ls
---- s1-xrea-com.value-domain.com (203.189.104.101) ポート 21 に接続中
<--- 220 ProFTPD                                 
---> FEAT
<--- 211-Features:
 MDTM
 MFMT
 AUTH TLS
 MFF modify;UNIX.group;UNIX.mode;
 MLST modify*;perm*;size*;type*;unique*;UNIX.group*;UNIX.mode*;UNIX.owner*;
 PBSZ
 PROT
 REST STREAM
 SIZE
<--- 211 End
---> AUTH TLS
<--- 234 AUTH TLS successful
---> OPTS MLST modify;perm;size;type;UNIX.group;UNIX.mode;UNIX.owner;
Certificate: C=JP,ST=Osaka,L=Osaka-shi,O=DigiRock\, Inc.,OU=Hostmaster,CN=*.value-domain.com
 Issued by: C=US,O=DigiCert Inc,OU=www.digicert.com,CN=DigiCert High Assurance CA-3
ERROR: Certificate verification: Not trusted
**** Certificate verification: Not trusted                  
---- コントロールソケットを閉じています
ls: 致命的エラー: Certificate verification: Not trusted

エラーメッセージを見ると、DigiCert High Assurance CA-3 という証明書を信用できないという問題である。

この証明書がなにものなのか探して見ると、 DigiCert Trusted Root Authority Certificates に書いてあって、DigiCert というところが発行した、中間証明書 (Intermediate Certificates) のようである。

証明書をとってきて中身を調べると、たしかに自己署名証明書ではなく、上位の証明書がある。

% wget https://www.digicert.com/CACerts/DigiCertHighAssuranceCA-3.crt
% openssl x509 -in DigiCertHighAssuranceCA-3.crt -text|grep CN
        Issuer: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert High Assurance EV Root CA
        Subject: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert High Assurance CA-3

その上位の証明書 (DigiCert High Assurance EV Root CA) をとってきて調べると、これは自己署名証明書である。

% wget https://www.digicert.com/testroot/DigiCertHighAssuranceEVRootCA.crt
% openssl x509 -in DigiCertHighAssuranceEVRootCA.crt -text|grep CN
        Issuer: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert High Assurance EV Root CA
        Subject: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert High Assurance EV Root CA

Debian の ca-certificates にそれらしい証明書があるか調べて見ると、DigiCert High Assurance EV Root CA はある。

% dpkg -L ca-certificates|grep DigiCert
/usr/share/ca-certificates/mozilla/DigiCert_High_Assurance_EV_Root_CA.crt
/usr/share/ca-certificates/mozilla/DigiCert_Global_Root_CA.crt
/usr/share/ca-certificates/mozilla/DigiCert_Assured_ID_Root_CA.crt

比較すると、ちゃんと一致する。(改行が LF と CRLF と違うようで、--ignore-all-space はその違いを無視するため)

% diff --ignore-all-space -u /usr/share/ca-certificates/mozilla/DigiCert_High_Assurance_EV_Root_CA.crt DigiCertHighAssuranceEVRootCA.crt

というわけで、検証に成功してもいいようなものだが、失敗してしまうというのが問題である。

明示的にルート証明書 (DigiCert High Assurance EV Root CA) を指定しても挙動は変わらない。

% lftp   
lftp :~> set ssl:ca-file DigiCertHighAssuranceEVRootCA.crt
lftp :~> set ftp:ssl-force yes
lftp :~> open s1-xrea-com.value-domain.com
lftp s1-xrea-com.value-domain.com:~> user foo bar
lftp foo@s1-xrea-com.value-domain.com:~> ls
ls: 致命的エラー: Certificate verification: Not trusted
lftp foo@s1-xrea-com.value-domain.com:~> 

ところが、ルート証明書ではなく、中間証明書を指定すると挙動が変わってうまく接続できる。

% lftp 
lftp :~> set ssl:ca-file DigiCertHighAssuranceCA-3.crt
lftp :~> set ftp:ssl-force yes
lftp :~> open s1-xrea-com.value-domain.com
lftp s1-xrea-com.value-domain.com:~> user foo bar                              
lftp foo@s1-xrea-com.value-domain.com:~> ls
ls: ログインに失敗しました: 530 Login incorrect. 
lftp foo@s1-xrea-com.value-domain.com:~> 

ここでは foo という不正なユーザ名を使っているのでログインに失敗しているが、これは SSL 接続に成功したことを意味している。FTPS では SSL 接続ができないかぎりユーザ名やパスワードを送らないので、ユーザ名やパスワードが間違っているという症状は SSL 接続が成功しない限り起こらない。

何が起こっているかというと、接続時にサーバ自体の証明書は送ってくれるのだが、中間証明書は送ってくれないのであろう。検証にはサーバ証明書から信用する証明書 (ルート証明書) に至る証明書の並びのすべてが必要で、ルート証明書はクライアントが (どれを信用するかというポリシーにしたがって) 選ぶものなので接続時にサーバが送る必要はないのだが、それ以外の証明書 (サーバ証明書と中間証明書) はサーバが接続時にクライアントに送るのが原則である。(たとえば、DigiCert も「DigiCert の root 証明書にたどり着けるよう、サーバー側に中間証明書をインストールし、中間証明書の情報をブラウザ等に伝えてやる必要があります。」などと説明している。)

もし中間証明書が送られていないとすると、中間証明書を信用するよう設定すれば接続できることをうまく説明できる。今回の指定した中間証明書はサーバ証明書を直接署名しているので、中間証明書を信用しているなら、接続時にサーバ証明書から信用する証明書までのすべての証明書が揃う。

これを確認する方法は原始的な方法しか思いつかなかった。ftp-ssl パッケージの ftp では FTPS の通信をダンプできるのでこれを使う。

% ftp -d -z debug -z verify=1 s1-xrea-com.value-domain.com     
SSL_DEBUG_FLAG on
Connected to s1.xrea.com.
220 ProFTPD  
ftp: setsockopt: Bad file descriptor
Name (s1-xrea-com.value-domain.com:akr): foo
---> AUTH SSL
234 AUTH SSL successful
write to 0x21c3bb0 (320 bytes => 320 (140))
0000 - 16 03 01 01 3b 01 00 01-37 03 03 4f fd 6a ac c7   ....;...7..O.j..
0010 - 5c 6d 65 80 da 79 f3 9e-32 51 e9 f1 3a 5b 24 eb   \me..y..2Q..:[$.
0020 - 4f 20 e5 ab b7 1e 93 b4-05 b9 22 00 00 9e c0 30   O ........"....0
0030 - c0 2c c0 28 c0 24 c0 14-c0 0a c0 22 c0 21 00 a3   .,.(.$.....".!..
0040 - 00 9f 00 6b 00 6a 00 39-00 38 00 88 00 87 c0 32   ...k.j.9.8.....2
0050 - c0 2e c0 2a c0 26 c0 0f-c0 05 00 9d 00 3d 00 35   ...*.&.......=.5
0060 - 00 84 c0 12 c0 08 c0 1c-c0 1b 00 16 00 13 c0 0d   ................
0070 - c0 03 00 0a c0 2f c0 2b-c0 27 c0 23 c0 13 c0 09   ...../.+.'.#....
0080 - c0 1f c0 1e 00 a2 00 9e-00 67 00 40 00 33 00 32   .........g.@.3.2
0090 - 00 9a 00 99 00 45 00 44-c0 31 c0 2d c0 29 c0 25   .....E.D.1.-.).%
00a0 - c0 0e c0 04 00 9c 00 3c-00 2f 00 96 00 41 c0 11   .......<./...A..
00b0 - c0 07 c0 0c c0 02 00 05-00 04 00 15 00 12 00 09   ................
00c0 - 00 14 00 11 00 08 00 06-00 03 00 ff 02 01 00 00   ................
00d0 - 6f 00 0b 00 04 03 00 01-02 00 0a 00 34 00 32 00   o...........4.2.
00e0 - 0e 00 0d 00 19 00 0b 00-0c 00 18 00 09 00 0a 00   ................
00f0 - 16 00 17 00 08 00 06 00-07 00 14 00 15 00 04 00   ................
0100 - 05 00 12 00 13 00 01 00-02 00 03 00 0f 00 10 00   ................
0110 - 11 00 23 00 00 00 0d 00-22 00 20 06 01 06 02 06   ..#.....". .....
0120 - 03 05 01 05 02 05 03 04-01 04 02 04 03 03 01 03   ................
0130 - 02 03 03 02 01 02 02 02-03 01 01 00 0f 00 01 01   ................
read from 0x21c3bb0 (7 bytes => 7 (7))
0000 - 16 03 01 00 30 02                                 ....0.
0007 - <SPACES/NULS>
read from 0x21c3bb0 (46 bytes => 46 (2E))
0000 - 00 2c 03 01 4f fd 6a ac-1c b1 39 69 fe 47 d9 c3   .,..O.j...9i.G..
0010 - 19 6d e7 8a 17 51 b2 2c-47 ec 6e f0 83 f6 e4 9c   .m...Q.,G.n.....
0020 - df 9f 15 48 00 00 39 00-00 04 00 23               ...H..9....#
002e - <SPACES/NULS>
read from 0x21c3bb0 (5 bytes => 5 (5))
0000 - 16 03 01 06 5c                                    ....\
read from 0x21c3bb0 (1628 bytes => 1628 (65C))
0000 - 0b 00 06 58 00 06 55 00-06 52 30 82 06 4e 30 82   ...X..U..R0..N0.
0010 - 05 36 a0 03 02 01 02 02-10 03 78 aa 49 b6 d3 4e   .6........x.I..N
0020 - 3c bc ad 5e d3 8f 12 f7-4d 30 0d 06 09 2a 86 48   <..^....M0...*.H
0030 - 86 f7 0d 01 01 05 05 00-30 66 31 0b 30 09 06 03   ........0f1.0...
0040 - 55 04 06 13 02 55 53 31-15 30 13 06 03 55 04 0a   U....US1.0...U..
0050 - 13 0c 44 69 67 69 43 65-72 74 20 49 6e 63 31 19   ..DigiCert Inc1.
0060 - 30 17 06 03 55 04 0b 13-10 77 77 77 2e 64 69 67   0...U....www.dig
0070 - 69 63 65 72 74 2e 63 6f-6d 31 25 30 23 06 03 55   icert.com1%0#..U
0080 - 04 03 13 1c 44 69 67 69-43 65 72 74 20 48 69 67   ....DigiCert Hig
0090 - 68 20 41 73 73 75 72 61-6e 63 65 20 43 41 2d 33   h Assurance CA-3
00a0 - 30 1e 17 0d 31 30 30 31-30 35 30 30 30 30 30 30   0...100105000000
00b0 - 5a 17 0d 31 33 30 31 30-38 32 33 35 39 35 39 5a   Z..130108235959Z
00c0 - 30 7c 31 0b 30 09 06 03-55 04 06 13 02 4a 50 31   0|1.0...U....JP1
00d0 - 0e 30 0c 06 03 55 04 08-13 05 4f 73 61 6b 61 31   .0...U....Osaka1
00e0 - 12 30 10 06 03 55 04 07-13 09 4f 73 61 6b 61 2d   .0...U....Osaka-
00f0 - 73 68 69 31 17 30 15 06-03 55 04 0a 13 0e 44 69   shi1.0...U....Di
0100 - 67 69 52 6f 63 6b 2c 20-49 6e 63 2e 31 13 30 11   giRock, Inc.1.0.
0110 - 06 03 55 04 0b 13 0a 48-6f 73 74 6d 61 73 74 65   ..U....Hostmaste
0120 - 72 31 1b 30 19 06 03 55-04 03 14 12 2a 2e 76 61   r1.0...U....*.va
0130 - 6c 75 65 2d 64 6f 6d 61-69 6e 2e 63 6f 6d 30 81   lue-domain.com0.
0140 - 9f 30 0d 06 09 2a 86 48-86 f7 0d 01 01 01 05 00   .0...*.H........
0150 - 03 81 8d 00 30 81 89 02-81 81 00 bb d9 0f fa 4c   ....0..........L
0160 - 72 da ee a1 42 9d ff f4-21 b6 07 13 69 ec ea 59   r...B...!...i..Y
0170 - dc af e0 02 a0 09 e5 45-ab ea f2 05 36 cb 55 a7   .......E....6.U.
0180 - 59 3e 67 e9 18 32 48 ca-0a 77 55 33 21 38 15 b8   Y>g..2H..wU3!8..
0190 - 1a 52 26 25 b2 25 4d 13-2f cf 19 e7 61 34 6a 22   .R&%.%M./...a4j"
01a0 - 53 ed ef 97 1b 57 44 4b-fc 38 10 db cc be 6d ab   S....WDK.8....m.
01b0 - 71 22 9d 4c 75 cd 7f 40-71 16 2d fc 72 80 e8 c4   q".Lu..@q.-.r...
01c0 - f0 f4 d1 d7 a0 64 70 0e-91 7d 8b b1 db 87 99 6c   .....dp..}.....l
01d0 - 76 df d4 ce 40 73 96 39-37 32 a9 02 03 01 00 01   v...@s.972......
01e0 - a3 82 03 64 30 82 03 60-30 1f 06 03 55 1d 23 04   ...d0..`0...U.#.
01f0 - 18 30 16 80 14 50 ea 73-89 db 29 fb 10 8f 9e e5   .0...P.s..).....
0200 - 01 20 d4 de 79 99 48 83-f7 30 1d 06 03 55 1d 0e   . ..y.H..0...U..
0210 - 04 16 04 14 e5 70 ad 18-7f 95 e0 c6 6c ba 14 a9   .....p......l...
0220 - eb 24 8c 84 cc e8 b6 c8-30 2f 06 03 55 1d 11 04   .$......0/..U...
0230 - 28 30 26 82 12 2a 2e 76-61 6c 75 65 2d 64 6f 6d   (0&..*.value-dom
0240 - 61 69 6e 2e 63 6f 6d 82-10 76 61 6c 75 65 2d 64   ain.com..value-d
0250 - 6f 6d 61 69 6e 2e 63 6f-6d 30 7f 06 08 2b 06 01   omain.com0...+..
0260 - 05 05 07 01 01 04 73 30-71 30 24 06 08 2b 06 01   ......s0q0$..+..
0270 - 05 05 07 30 01 86 18 68-74 74 70 3a 2f 2f 6f 63   ...0...http://oc
0280 - 73 70 2e 64 69 67 69 63-65 72 74 2e 63 6f 6d 30   sp.digicert.com0
0290 - 49 06 08 2b 06 01 05 05-07 30 02 86 3d 68 74 74   I..+.....0..=htt
02a0 - 70 3a 2f 2f 77 77 77 2e-64 69 67 69 63 65 72 74   p://www.digicert
02b0 - 2e 63 6f 6d 2f 43 41 43-65 72 74 73 2f 44 69 67   .com/CACerts/Dig
02c0 - 69 43 65 72 74 48 69 67-68 41 73 73 75 72 61 6e   iCertHighAssuran
02d0 - 63 65 43 41 2d 33 2e 63-72 74 30 0e 06 03 55 1d   ceCA-3.crt0...U.
02e0 - 0f 01 01 ff 04 04 03 02-05 a0 30 0c 06 03 55 1d   ..........0...U.
02f0 - 13 01 01 ff 04 02 30 00-30 65 06 03 55 1d 1f 04   ......0.0e..U...
0300 - 5e 30 5c 30 2c a0 2a a0-28 86 26 68 74 74 70 3a   ^0\0,.*.(.&http:
0310 - 2f 2f 63 72 6c 33 2e 64-69 67 69 63 65 72 74 2e   //crl3.digicert.
0320 - 63 6f 6d 2f 63 61 33 2d-32 30 30 39 67 2e 63 72   com/ca3-2009g.cr
0330 - 6c 30 2c a0 2a a0 28 86-26 68 74 74 70 3a 2f 2f   l0,.*.(.&http://
0340 - 63 72 6c 34 2e 64 69 67-69 63 65 72 74 2e 63 6f   crl4.digicert.co
0350 - 6d 2f 63 61 33 2d 32 30-30 39 67 2e 63 72 6c 30   m/ca3-2009g.crl0
0360 - 82 01 c6 06 03 55 1d 20-04 82 01 bd 30 82 01 b9   .....U. ....0...
0370 - 30 82 01 b5 06 0b 60 86-48 01 86 fd 6c 01 03 00   0.....`.H...l...
0380 - 01 30 82 01 a4 30 3a 06-08 2b 06 01 05 05 07 02   .0...0:..+......
0390 - 01 16 2e 68 74 74 70 3a-2f 2f 77 77 77 2e 64 69   ...http://www.di
03a0 - 67 69 63 65 72 74 2e 63-6f 6d 2f 73 73 6c 2d 63   gicert.com/ssl-c
03b0 - 70 73 2d 72 65 70 6f 73-69 74 6f 72 79 2e 68 74   ps-repository.ht
03c0 - 6d 30 82 01 64 06 08 2b-06 01 05 05 07 02 02 30   m0..d..+.......0
03d0 - 82 01 56 1e 82 01 52 00-41 00 6e 00 79 00 20 00   ..V...R.A.n.y. .
03e0 - 75 00 73 00 65 00 20 00-6f 00 66 00 20 00 74 00   u.s.e. .o.f. .t.
03f0 - 68 00 69 00 73 00 20 00-43 00 65 00 72 00 74 00   h.i.s. .C.e.r.t.
0400 - 69 00 66 00 69 00 63 00-61 00 74 00 65 00 20 00   i.f.i.c.a.t.e. .
0410 - 63 00 6f 00 6e 00 73 00-74 00 69 00 74 00 75 00   c.o.n.s.t.i.t.u.
0420 - 74 00 65 00 73 00 20 00-61 00 63 00 63 00 65 00   t.e.s. .a.c.c.e.
0430 - 70 00 74 00 61 00 6e 00-63 00 65 00 20 00 6f 00   p.t.a.n.c.e. .o.
0440 - 66 00 20 00 74 00 68 00-65 00 20 00 44 00 69 00   f. .t.h.e. .D.i.
0450 - 67 00 69 00 43 00 65 00-72 00 74 00 20 00 43 00   g.i.C.e.r.t. .C.
0460 - 50 00 2f 00 43 00 50 00-53 00 20 00 61 00 6e 00   P./.C.P.S. .a.n.
0470 - 64 00 20 00 74 00 68 00-65 00 20 00 52 00 65 00   d. .t.h.e. .R.e.
0480 - 6c 00 79 00 69 00 6e 00-67 00 20 00 50 00 61 00   l.y.i.n.g. .P.a.
0490 - 72 00 74 00 79 00 20 00-41 00 67 00 72 00 65 00   r.t.y. .A.g.r.e.
04a0 - 65 00 6d 00 65 00 6e 00-74 00 20 00 77 00 68 00   e.m.e.n.t. .w.h.
04b0 - 69 00 63 00 68 00 20 00-6c 00 69 00 6d 00 69 00   i.c.h. .l.i.m.i.
04c0 - 74 00 20 00 6c 00 69 00-61 00 62 00 69 00 6c 00   t. .l.i.a.b.i.l.
04d0 - 69 00 74 00 79 00 20 00-61 00 6e 00 64 00 20 00   i.t.y. .a.n.d. .
04e0 - 61 00 72 00 65 00 20 00-69 00 6e 00 63 00 6f 00   a.r.e. .i.n.c.o.
04f0 - 72 00 70 00 6f 00 72 00-61 00 74 00 65 00 64 00   r.p.o.r.a.t.e.d.
0500 - 20 00 68 00 65 00 72 00-65 00 69 00 6e 00 20 00    .h.e.r.e.i.n. .
0510 - 62 00 79 00 20 00 72 00-65 00 66 00 65 00 72 00   b.y. .r.e.f.e.r.
0520 - 65 00 6e 00 63 00 65 00-2e 30 1d 06 03 55 1d 25   e.n.c.e..0...U.%
0530 - 04 16 30 14 06 08 2b 06-01 05 05 07 03 01 06 08   ..0...+.........
0540 - 2b 06 01 05 05 07 03 02-30 0d 06 09 2a 86 48 86   +.......0...*.H.
0550 - f7 0d 01 01 05 05 00 03-82 01 01 00 84 a9 c8 80   ................
0560 - 0b 0f 18 c3 45 3a 9d e8-ac 0c 6c 33 85 6d 16 10   ....E:....l3.m..
0570 - 5b 19 2c 5d c1 4d f9 09-94 31 cc c1 32 7b c8 87   [.,].M...1..2{..
0580 - 65 c8 d5 80 5d 35 c8 f6-0b 39 59 54 c2 74 2b c6   e...]5...9YT.t+.
0590 - c0 ef ef 86 9c 19 eb ad-2e b7 54 cf 29 72 4f c6   ..........T.)rO.
05a0 - 07 7a 58 55 37 92 53 d2-35 cd 31 2d 08 9f 80 ee   .zXU7.S.5.1-....
05b0 - 3b 43 65 59 1d 82 be 12-b0 30 d2 b5 2a e9 98 bf   ;CeY.....0..*...
05c0 - 6f 59 97 4d be 1c db 31-94 9b 77 0f 84 50 41 a7   oY.M...1..w..PA.
05d0 - 90 e8 e8 61 86 3e e5 eb-db 28 a1 2a 69 8a 21 97   ...a.>...(.*i.!.
05e0 - d4 0b a6 66 27 1d 0a d4-eb 82 84 4c cb 86 ff 27   ...f'......L...'
05f0 - c2 a8 c7 d4 88 98 0e d2-9f 4c 14 fa ba db 23 cb   .........L....#.
0600 - 0d 0c 1a 75 9d 3c cc bb-f4 cb 01 7b d2 6e 76 97   ...u.<.....{.nv.
0610 - 9b f7 e4 53 65 3f d4 8c-e9 4a bf 40 a3 ae 54 1c   ...Se?...J.@..T.
0620 - c1 fe e9 7e 92 c6 d9 66-ac 27 99 a8 16 02 10 07   ...~...f.'......
0630 - d8 92 12 b0 60 18 47 99-40 98 9c eb 4d e3 b2 2a   ....`.G.@...M..*
0640 - 63 61 34 d8 77 e6 14 d0-55 91 55 dc 97 f9 f4 f7   ca4.w...U.U.....
0650 - a7 10 3c ab 76 e1 1a 59-0e 44 c5 49               ..<.v..Y.D.I
write to 0x21c3bb0 (7 bytes => 7 (7))
0000 - 15 03 01 00 02 02 30                              ......0
ftp: SSL_connect error error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
: Success

ダンプされた中身を見ると、

0080 - 04 03 13 1c 44 69 67 69-43 65 72 74 20 48 69 67   ....DigiCert Hig
0090 - 68 20 41 73 73 75 72 61-6e 63 65 20 43 41 2d 33   h Assurance CA-3

というように、DigiCert High Assurance CA-3 という名前は出てくるが、DigiCert High Assurance EV Root CA という名前は出てこない。中間証明書の中にはそれに署名している上位の証明書の名前が入っているはずなのに、それがないということは、送られてきていないのであろう。

サポートに伝えたところ、担当部門に伝えるということなので、そのうち直るかもしれない。(直らないかもしれない。)

しかし、もっとわかりやすい調べ方はないかな。HTTPS みたいに、TCP の先頭から SSL が始まるのであれば、openssl s_client -showcerts が証明書を解析して表示してくれるようだが、FTPS だと途中からだからなぁ。

% openssl s_client -showcerts -connect redmine.ruby-lang.org:443
CONNECTED(00000003)
depth=1 C = IL, O = StartCom Ltd., OU = Secure Digital Certificate Signing, CN = StartCom Class 1 Primary Intermediate Server CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/description=590348-c54I1AmdbczmSg0s/CN=bugs.ruby-lang.org/emailAddress=postmaster@ruby-lang.org
   i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 1 Primary Intermediate Server CA
...
 1 s:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 1 Primary Intermediate Server CA
   i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority
...
Server certificate
subject=/description=590348-c54I1AmdbczmSg0s/CN=bugs.ruby-lang.org/emailAddress=postmaster@ruby-lang.org
issuer=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 1 Primary Intermediate Server CA
...

[latest]


田中哲