cross-certificates は https://itkq.jp/blog/2020/06/20/x509-chain/#クロス証明書 で触れたが、最近混乱したので整理する。RFC 5280 によれば cross-certificates の定義は次の通りで非常にシンプルである。

Cross-certificates are CA certificates in which the issuer and subject are different entities. Cross-certificates describe a trust relationship between the two CAs.

先の記事での署名関係は以下であった。この例では、USERTrust CA が「クロスルート証明書」で、USERTrust CA をトラストアストアに持っていない古いクライアントのために AddTrust CA root が USERTrust を署名し、トラストチェーンを構築できるようにするものだった。互換性を考慮してこうなっている。

この記事は、所属する会社の社内ブログに投稿した内容を一部改変したものです。

遭遇した事象

Prometheus と https://github.com/prometheus/blackbox_exporter を使って TLS サーバー証明書の有効性と有効期限を網羅的に監視しています。最近 blackbox_exporter が blog.cookpad.dk:443 の証明書の期限が切れている、と報告してきました。しかし同時に blackbox_exporter は TLS 接続には成功している、と報告していたのです。確認のため、Chrome で https://blog.cookpad.dk/ にアクセスしてみると、問題ありませんでした。Firefox でも同様でした。次に手元の MacBook Pro から cURL してみます。