Chromium

Android(中のChrome含む)

WebKit

FireFox

IE

http://connectppe.microsoft.com/IE

タブプロセスとは、フレームプロセスとは

まず、「タブ」「タブプロセス」「フレーム」「フレームプロセス」を分けて考えることが必要です。
「タブ」と「フレーム」は見た目の部分、「タブプロセス」「フレームプロセス」とはWindowsでいうプロセスのこと。
どれがフレームプロセスか、どれがタブプロセスかを再整理をするために、ProcessExplorerとSpy++で見ていきます。
※一律保護モードOFF（というかXPなので）

まずは、IEを全て閉じた状態で１つだけ新たなブラウザを立ち上げると以下のように出ます。

iexplore.exeが2つ存在し、親になっているのがフレームプロセスです。
WindowsというOSはあまりプロセスの親子関係は気にしないのですが、
IE8はコマンドライン引数を見る限りなにやら気にするようです。（詳細はこちら）

起動済みのInternetExplorerのJavaScriptプログラムにブレークポイントをかけたい場合は、タブプロセス側にアタッチする必要があります(開発者ツールならその必要性はありませんが）。

フレームプロセス、タブプロセスのウィンドウとの関係はココにも書いてありますが、

となっていました。
「お気に入り(FavoritesBar)」「コマンドバー(CommandBar)」はフレームプロセスですが、「メニューバー」「Googleツールバー」はタブプロセスになっていました。
タブプロセスの吹き出しの部分は、タブが異なるとプロセスが異なることがあります。
もちろん、フレームプロセスとタブプロセスは別プロセスです。
タブごとにプロセスが異なっていたとしても、実際はツールバーやJavaScriptオブジェクトは1つしかいません。

この状態のウィンドウハンドルの階層とプロセスの関係をSpy++で確認した所、以下のようになっていました。

次に、タブを増やしていくと以下のようになりました。

真ん中の３つがタブプロセスです。
タブプロセスが分かれる規則は、
Opening a New Tab may launch a New Process with Internet Explorer 8.0
にあるように空きメモリや現在のタブの数、整合性レベル、明示的に別セッション(Cookieの方)にしたいかで変わります。
私の環境の場合は、タブ3つだとタブプロセスが3つ。タブ4つ目はタブプロセスは増えない(1つ目のものを使いまわし)。以降緩やかにプロセス増加はしにくくなる。という動作でした。時によっても変わるでしょう。
なお、色が茶色いのは、Windowsの「ジョブ」と呼ばれるOSの機能の1つで、複数プロセスをグルーピングして一元管理したり相互通信するのに使用する機能です。タブプロセス同士がグループ化されてることが見て取れます。

次は、ウィンドウです。
一度IEをすべて閉じて、デスクトップのIEアイコンにて、IEを”２つ”起動します。ウィンドウが2つ表示されます。

先ほどと異なるのは、タブを増やしたのではなく、ウィンドウを増やしました。
にもかかわらず、タブプロセスしか増えませんでした。
これはフレーム結合(FrameMerging)が行われたためです。そのためフレームプロセスが1つのままになっています。
この場合、セッションCookieは共有されます。
メニューバーからの「新規ウィンドウ(CTRL+N)」や「window.open」でも同様です。

今度は、セッションを2つの場合を確認です。
一度IEをすべて閉じて、IEを1つ起動後に、「新規セッション」でIEをさらにもう1つ起動します。

先ほどと異なるのは、起動の仕方の違いです。ウィンドウの数は同じく2つです。
フレームプロセスが2つ、タブプロセス2つあります。吹き出しコメントが「新規セッション」で増えたプロセスです。
フレームプロセスか、タブプロセスかはコマンドライン引数を見れば分かります。
後で増やしたウィンドウは-noframemerging、-sessionmergingオプションが付与された状態で起動されています。
この場合、セッションCookieは共有されません。

セッションについて

IE8でセッション引き継ぎ条件も変わりました。
というより、フレームプロセスのマージ有無が変わったため条件が変わったように見えるだけのようですが。
画面UI上のどのボタンを押したらセッションはどうなるのかがあまり語られていない気がしたので、
まとめてみました(机上確認も含んじゃっていますが）。
注意したいのは、ウィンドウの起動の仕方によってセッションが共有されるかどうかが変わります（IE6,7でも同様ですが）。
例えば、Aタグのtarget=_blankのときと、デスクトップのIEアイコンをクリックでは異なる場合があります。

セッションを実現するにあたり、各種方法がありますが、ここではセッションCookieとsessionStorageに話を絞ります。セッションCookieとはexpires指定なし、永続Cookieとはexpires指定ありのCookieです。

空白は未調査。
レジストリ設定(TabProcGrowth)はデフォルト状態の定義なし状態で確認しています(つまりContext-based)。

※1：VSのブレークポイントを有効にするために、TabProcGrowthを0にしていると、IE7と同じくセッションは共有されなくなります（また、フレームプロセスとタブプロセスは1つのプロセスになります）。
なお、TabProcGrowthを設定していなくても、セッションが共有されないことがあります(後述)。

※2：http://d.hatena.ne.jp/Syunpei/20090804/1249375857
　　　IE8 の セッション Cookie と sessionStorage

上記表のとおり、「タブを複製」は手元のマシンでは、セッションCookieは起動元ウィンドウと共有されますが、sessionStorageは起動元タブから引き継がれず新規タブでは空の状態となっていました(コピーもされない)。
このケースは、個人的には、消えるのではなく起動元タブからコピーされた別ものでもよいとも思っています。HTML5での指摘内容には該当しないと考えているためです（複製の意味をユーザがどのように捉えるのか次第かなと）
「window.open」の場合ですと、セッションCookieは同じく共有されますが、sessionStorageは値のコピーが行われ起動元ウィンドウとは別となっていました。

TabProcGrowth設定は、セッションへの影響もあります。値の意味はココにある通りですが、セッションについて補足すると、

0

タブプロセスとフレームプロセスが1つのプロセスになる。タブが増えてもタブプロセスが増えない。また、上に書いたように「デスクトップのIEアイコンで起動」時にセッション(Cookeie)が分かれるようになります。また、frames are not unified across MIC levels.です。

1

タブプロセスとフレームプロセスが1つづつになる(合計2つ)。タブが増えてもタブプロセスが増えない。「デスクトップのIEアイコンで起動」時にセッション(Cookie)は分かれない。all tabs for a given frame process run in a single tab process for a given MIC level.

上でTabProcGrowthを設定していなくても、セッションが共有されずに、別になってしまうことがあると書きました。フレームプロセスが別プロセスになってしまうためのようです。
なることが確認出来ているのは現在２つ。
・IE起動→「新規セッション」→起動元ウィンドウを閉じる→IE起動
・IE起動→ファイルエクスプローラーからIE起動

起動元プロセス単位でフレームプロセスをマージしているのでしょうか？
このことは、頭に留めておくとよいかもと思っています。

レジストリFrameMergingとSessionMergingについて

FrameMergingとは何と何をどのようなタイミングでマージするのかがIE8 の "フレーム結合" を抑止するを見てもいまひとつ分からなかったため、調査しました。

FrameMergingはデフォルト1(有効)。
デスクトップのIEボタンをクリックして立ち上げたときに、別ウィンドウになりますが、そのウィンドウと既存のウィンドウを結合するかどうかという指定。
結合した場合、フレームプロセスが共有されるが、セッションも共有される。
フレームプロセスとタブプロセスは別プロセスのままです（なので、VSのブレークポイントを有効にするための対策にはならないハズ)。
たとえ1(有効)であっても、メニューの「新規セッション」を選択などで、明示的に別セッションで立ち上げる場合は、フレームプロセスは別になり、セッションも別になります。
値を0(無効)にした場合、ウィンドウごとに別プロセス（ウィンドウ単位でフレームプロセス＋タブプロセスが出来る）になる。

「新規ウィンドウ」やwindow.open時はこの設定には影響しない。
つまりマージしない設定(0)にしてもマージされるままです。
http://mp.i-revo.jp/user.php/hcflzamg/entry/1952.html
セッションCookieが共有される単位は、フレームプロセス単位であることはこのレジストリを弄っても変わらないし、IE7から変わっていないと考えています。

（SessionMergingはおいおい調査）

拡張子

最初、ファイルの拡張子が沢山出てきて戸惑ったが、
どうやら重要なのは「秘密鍵(.key)」「証明書要求(.csr)」「証明書(.crt)」の3つ。
作成ステップは秘密鍵→証明書要求→証明書の順。

• .key - 秘密鍵。(pkcs#1/pkcs#8)

openssl genrsa で作成可能。

• .csr - 証明書要求。ファイル中に要求元の公開鍵や作成してほしい内容が入っています。pkcs#10。

 openssl req -new -key .key
  秘密鍵から証明書要求を作成。
 perl ..\bin\CA.pl -newreq-nodes (CA.pl内ではopenssl req -new -nodes -keyout key.pem -out req.pemを実行)
  秘密鍵を作成しつつ、証明書要求も作成。

• .crt - 証明書。公開鍵はこの中に含まれています。逆に秘密鍵は含まれていない。

 openssl x509 -in .csr -out .crt -signkey .ken -req
  秘密鍵と証明書要求から証明書を作成
 perl ..\bin\CA.pl -sign (-out cert.pem -infiles req.pem)
  裏で作成していた証明書要求から証明書を作成。
 perl ..\bin\CA.pl -newca  (openssl -req -new -keyout; openssl ca -out crt.pem -selfsign)
  CA証明書の作成のため、秘密鍵や自己署名(ルート)証明書を一気に作成。

後の拡張子は、複数ファイルを合体させるための入れ物だったり、中の形式を変えたい時(主にバイナリかbase64か)に使用する。

• .pem - 秘密鍵や証明書、証明書要求の入れ物。Base64の形式。この形式(base64)でないと受け付けてくれないツールがある（例えば、パケットキャプチャソフトのWireShark)。
• .derと.cer - 中身は証明書のみ。バイナリ形式。通常の.crtだとbase64形式のようで、古いブラウザ(今も？）などにインポートする際は、バイナリ形式しか対応していない場合がある。そういう時にこれらの形式を使用する。
• .pfxと.p12 - 中身は秘密鍵+証明書。pkcs#12。1つのファイルになるので持ち運びが便利な形式。実際はインポートやエキスポート時に使われている模様。例えばapache→IISに持っていくときに使用。pfxはp12の前身。

pfxの仕様が見つからないためp12(pkcs12)との違いが分からないﾍ(ﾟ∀ﾟﾍ)

ASN.1解析

証明書系は(大抵?)ASN.1という形式になっている。
中身を確認したいときに以下のサイトやツールを使うと良い感じかも。

自堕落な技術者の日記 : オススメASN.1ビューアaatool - livedoor Blog（ブログ）
ASN.1 encoder/decoder on JavaScript (v0.3)
openssl asn1parseコマンド
mino's software

証明書作成ツール(オレオレ用)

証明書を作成するツール

• openssl.exe
• 証明書作成ツール (Makecert.exe)
• AD CS(Active Directory 証明書サービス)
• IISの自己署名証明書発行機能

makecert.exeはまだ、触ったことがないです。
どのツールを使うにせよCN(CommonName、一般名)と期限を自由に弄れないと、ブラウザが警告を出してくるなど後で困る羽目になります＞＜

APIとか

プログラムで証明書を弄ることがどういうときなのか分かっていませんが、
検証ツールを自作するときとかに使えるかもと考えています。

Microsoft
http://www.trustss.co.jp/smnCrypt000.html
http://msdn.microsoft.com/ja-jp/library/system.security.cryptography.x509certificates.x509store(VS.80).aspx
Java
http://www9.atwiki.jp/kurushima/pages/47.html
LangEdge,Inc. [オープンソース暗号]
http://www.langedge.jp/pub/oss_security.html