【PHP8.x】PKCS7_NOCHAIN定数の使い方

PKCS7_NOCHAIN定数は、PKCS7形式のデータにデジタル署名を施す際に、特定の動作を指定するために使用される定数です。

この定数は、特にPHPのOpenSSL拡張機能が提供するopenssl_pkcs7_sign関数などの引数として利用されます。PKCS7_NOCHAINを指定すると、生成されるPKCS7署名データに署名者の証明書チェーン（信頼の階層を示す一連の証明書）を含めないことを指示します。

通常、デジタル署名には、署名者の公開鍵証明書に加え、その証明書が信頼できる第三者機関によって発行されたものであることを示すための中間証明書やルート証明書といった上位の証明書が含まれます。これらがつながって「証明書チェーン」を形成し、署名の信頼性を検証する際に重要な役割を果たします。

しかし、PKCS7_NOCHAIN定数を使用することで、この証明書チェーンが署名データから除外されます。これは、署名されたデータのファイルサイズを小さくしたい場合や、署名データを受け取る側がすでに署名者の証明書チェーンを別途保有していることが確実である場合に有用です。

ただし、証明書チェーンが含まれないため、署名データを受け取った側が署名の正当性を検証するためには、別途、署名者の証明書やそのチェーンの情報を準備する必要があります。この情報がない場合、受信側は署名の検証を適切に行えない可能性があるため、この定数を使用する際は、署名データの利用環境を十分に考慮することが重要です。この定数は、署名プロセスにおける柔軟性を提供しますが、その利用には慎重な検討が求められます。

Copy
1<?php
2echo PKCS7_NOCHAIN;
3?>

引数なし

引数はありません

戻り値なし

戻り値はありません