モジュール java.base
パッケージ javax.net.ssl

クラスX509ExtendedTrustManager

  • すべての実装されたインタフェース:
    TrustManager, X509TrustManager

    public abstract class X509ExtendedTrustManager
    extends Object
    implements X509TrustManager
    SSL/TLS/DTLS接続センシティブな信頼管理をサポートするためのX509TrustManagerインタフェースの拡張。

    man-in-the-middle攻撃を防ぐために、ホスト名チェックを行なって、エンド・エンティティ証明書のホスト名がターゲットのホスト名と一致することを検証できます。 TLS/DTLSはそのようなチェックを必要としませんが、TLS/DTLS (HTTPSなど)上のいくつかのプロトコルはそうしています。 以前のバージョンのJDKでは、証明書チェインのチェックはSSL/TLS/DTLSレイヤーで行われ、ホスト名検証チェックはTLS/DTLS上のレイヤーで行われました。 このクラスを1回呼び出すと、そのチェックを行うことができます。

    RFC 2830には、LDAPSアルゴリズムのサーバー識別仕様が定義されています。 RFC 2818には、HTTPSアルゴリズムのサーバー識別仕様とクライアント識別仕様の両方が定義されています。

    導入されたバージョン:
    1.7
    関連項目:
    X509TrustManager, HostnameVerifier
    • コンストラクタの詳細

      • X509ExtendedTrustManager

        public X509ExtendedTrustManager()
    • メソッドの詳細

      • checkClientTrusted

        public abstract void checkClientTrusted​(X509Certificate[] chain,
                                                String authType,
                                                Socket socket)
                                         throws CertificateException
        ピアから部分的または完全な証明書チェーンが提供された場合に、認証タイプとSSLパラメータに基づいて証明書パスを構築して検証します。

        認証タイプは、実際に使用される証明書によって決まります。 たとえば、RSAPublicKeyを使用する場合、authTypeは"RSA"になります。 チェックでは、大文字と小文字が区別されます。

        socketパラメータがSSLSocketのインスタンスであり、SSLParametersのエンド・ポイント識別アルゴリズムが空でない場合は、man-in-the-middle攻撃を回避するために、エンド・ポイント識別アルゴリズムで指定されているように、socketの接続先のアドレスをエンド・エンティティX509証明書で提供されているピアの識別情報に対してチェックするようにしてください。

        socketパラメータがSSLSocketのインスタンスであり、SSLParametersのアルゴリズムの制約がnull以外の場合は、証明書パス内のすべての証明書について、サブジェクトの公開鍵、署名アルゴリズム、鍵使用法、拡張鍵使用法などのフィールドが、このソケットで設定されているアルゴリズムの制約に準拠している必要があります。

        パラメータ:
        chain - ピアの証明書チェーン
        authType - 使用される鍵交換アルゴリズム
        socket - この接続に使用するソケット。 このパラメータにはnullを指定可能。これは、実装でsslパラメータをチェックする必要がないことを示す
        例外:
        IllegalArgumentException - nullまたは長さ0の配列がchainパラメータに渡された場合、あるいはnullまたは長さ0の文字列がauthTypeパラメータに渡された場合
        CertificateException - 証明書チェーンがこのTrustManagerによって信頼されていない場合
        関連項目:
        SSLParameters.getEndpointIdentificationAlgorithm(), SSLParameters.setEndpointIdentificationAlgorithm(String), SSLParameters.getAlgorithmConstraints(), SSLParameters.setAlgorithmConstraints(AlgorithmConstraints)
      • checkServerTrusted

        public abstract void checkServerTrusted​(X509Certificate[] chain,
                                                String authType,
                                                Socket socket)
                                         throws CertificateException
        ピアから部分的または完全な証明書チェーンが提供された場合に、認証タイプとSSLパラメータに基づいて証明書パスを構築して検証します。

        認証タイプは、暗号化方式群の鍵交換アルゴリズムで、RSAやDHE_DSSのようにStringとして表現されます。 注: 一部のエクスポート可能な暗号化方式群では、鍵交換アルゴリズムがハンドシェークの実行時に決定されます。 たとえば、TLS_RSA_EXPORT_WITH_RC4_40_MD5のauthTypeは、一時的なRSA鍵が鍵交換で使用されるときはRSA_EXPORTになり、サーバー証明書の鍵が使用されるときはRSAになります。 チェックでは、大文字と小文字が区別されます。

        socketパラメータがSSLSocketのインスタンスであり、SSLParametersのエンド・ポイント識別アルゴリズムが空でない場合は、man-in-the-middle攻撃を回避するために、エンド・ポイント識別アルゴリズムで指定されているように、socketの接続先のアドレスをエンド・エンティティX509証明書で提供されているピアの識別情報に対してチェックするようにしてください。

        socketパラメータがSSLSocketのインスタンスであり、SSLParametersのアルゴリズムの制約がnull以外の場合は、証明書パス内のすべての証明書について、サブジェクトの公開鍵、署名アルゴリズム、鍵使用法、拡張鍵使用法などのフィールドが、このソケットで設定されているアルゴリズムの制約に準拠している必要があります。

        パラメータ:
        chain - ピアの証明書チェーン
        authType - 使用される鍵交換アルゴリズム
        socket - この接続に使用するソケット。 このパラメータにはnullを指定可能。これは、実装でsslパラメータをチェックする必要がないことを示す
        例外:
        IllegalArgumentException - nullまたは長さ0の配列がchainパラメータに渡された場合、あるいはnullまたは長さ0の文字列がauthTypeパラメータに渡された場合
        CertificateException - 証明書チェーンがこのTrustManagerによって信頼されていない場合
        関連項目:
        SSLParameters.getEndpointIdentificationAlgorithm(), SSLParameters.setEndpointIdentificationAlgorithm(String), SSLParameters.getAlgorithmConstraints(), SSLParameters.setAlgorithmConstraints(AlgorithmConstraints)
      • checkClientTrusted

        public abstract void checkClientTrusted​(X509Certificate[] chain,
                                                String authType,
                                                SSLEngine engine)
                                         throws CertificateException
        ピアから部分的または完全な証明書チェーンが提供された場合に、認証タイプとSSLパラメータに基づいて証明書パスを構築して検証します。

        認証タイプは、実際に使用される証明書によって決まります。 たとえば、RSAPublicKeyを使用する場合、authTypeは"RSA"になります。 チェックでは、大文字と小文字が区別されます。

        engineパラメータが使用可能であり、SSLParametersのエンド・ポイント識別アルゴリズムが空でない場合は、man-in-the-middle攻撃を回避するために、エンド・ポイント識別アルゴリズムで指定されているように、engineの接続先のアドレスをエンド・エンティティX509証明書で提供されているピアの識別情報に対してチェックするようにしてください。

        engineパラメータが使用可能であり、SSLParametersのアルゴリズムの制約がnull以外である場合は、証明書パス内のすべての証明書について、サブジェクトの公開鍵、署名アルゴリズム、鍵使用法、拡張鍵使用法などのフィールドが、このエンジンで設定されているアルゴリズムの制約に準拠している必要があります。

        パラメータ:
        chain - ピアの証明書チェーン
        authType - 使用される鍵交換アルゴリズム
        engine - この接続に使用するエンジン。 このパラメータにはnullを指定可能。これは、実装でsslパラメータをチェックする必要がないことを示す
        例外:
        IllegalArgumentException - nullまたは長さ0の配列がchainパラメータに渡された場合、あるいはnullまたは長さ0の文字列がauthTypeパラメータに渡された場合
        CertificateException - 証明書チェーンがこのTrustManagerによって信頼されていない場合
        関連項目:
        SSLParameters.getEndpointIdentificationAlgorithm(), SSLParameters.setEndpointIdentificationAlgorithm(String), SSLParameters.getAlgorithmConstraints(), SSLParameters.setAlgorithmConstraints(AlgorithmConstraints)
      • checkServerTrusted

        public abstract void checkServerTrusted​(X509Certificate[] chain,
                                                String authType,
                                                SSLEngine engine)
                                         throws CertificateException
        ピアから部分的または完全な証明書チェーンが提供された場合に、認証タイプとSSLパラメータに基づいて証明書パスを構築して検証します。

        認証タイプは、暗号化方式群の鍵交換アルゴリズムで、RSAやDHE_DSSのようにStringとして表現されます。 注: 一部のエクスポート可能な暗号化方式群では、鍵交換アルゴリズムがハンドシェークの実行時に決定されます。 たとえば、TLS_RSA_EXPORT_WITH_RC4_40_MD5のauthTypeは、一時的なRSA鍵が鍵交換で使用されるときはRSA_EXPORTになり、サーバー証明書の鍵が使用されるときはRSAになります。 チェックでは、大文字と小文字が区別されます。

        engineパラメータが使用可能であり、SSLParametersのエンド・ポイント識別アルゴリズムが空でない場合は、man-in-the-middle攻撃を回避するために、エンド・ポイント識別アルゴリズムで指定されているように、engineの接続先のアドレスをエンド・エンティティX509証明書で提供されているピアの識別情報に対してチェックするようにしてください。

        engineパラメータが使用可能であり、SSLParametersのアルゴリズムの制約がnull以外である場合は、証明書パス内のすべての証明書について、サブジェクトの公開鍵、署名アルゴリズム、鍵使用法、拡張鍵使用法などのフィールドが、このエンジンで設定されているアルゴリズムの制約に準拠している必要があります。

        パラメータ:
        chain - ピアの証明書チェーン
        authType - 使用される鍵交換アルゴリズム
        engine - この接続に使用するエンジン。 このパラメータにはnullを指定可能。これは、実装でsslパラメータをチェックする必要がないことを示す
        例外:
        IllegalArgumentException - nullまたは長さ0の配列がchainパラメータに渡された場合、あるいはnullまたは長さ0の文字列がauthTypeパラメータに渡された場合
        CertificateException - 証明書チェーンがこのTrustManagerによって信頼されていない場合
        関連項目:
        SSLParameters.getEndpointIdentificationAlgorithm(), SSLParameters.setEndpointIdentificationAlgorithm(String), SSLParameters.getAlgorithmConstraints(), SSLParameters.setAlgorithmConstraints(AlgorithmConstraints)