【認証局】SSLに関するスレ 2枚目【ぼろ儲け】
1 :DNS未登録さん :2010/10/08(金) 19:15:04 ID:D3awGtmQ.net 誰も立てないようなので立てた。 【主な認証局】 VeriSign : http://www.verisign.com/ , http://www.verisign.co.jp/ Thawte : http://www.thawte.com/ , http://www.jp.thawte.com/ (親会社は VeriSign) CyberTrust: http://www.cybertrust.com/ , http://www.cybertrust.ne.jp/ GeoTrust : http://www.geotrust.com/ , http://www.geotrust.co.jp/ (親会社は VeriSign) RapidSSL : http://www.rapidssl.com/ (親会社は VeriSign) Comodo : http://comodo.com/ , http://www.comodojapan.com/ GoDaddy (StarField) : http://www.godaddy.com/ GlobalSign : http://www.globalsign.com/ , http://jp.globalsign.com/ Secure Business Services: http://www.securebusinessservices.com/ セコム : http://www.secomtrust.net/service/ninsyo/forweb.html StartSSL : http://www.startssl.com/ CAcert.org : http://www.cacert.org/ (※ほとんどのブラウザにルート証明書が含まれていない)
207 :DNS未登録さん :2012/10/22(月) 17:40:56.40 ID:???.net >>206 あ?普通に考えれば小売だろ お前の頭の中では卸売業者の数>>最終消費者なんだろうな
208 :DNS未登録さん :2012/10/22(月) 17:49:22.44 ID:???.net 日本円が良いなら1,260円 http://define.jp/ssl/user_data/readme.php ドルでかつ英語が読めるなら↓でreseller登録すると$11.95くらいだったハズ http://www.trustico.com/
209 :DNS未登録さん :2012/10/22(月) 17:56:16.56 ID:???.net ありがとうございます 日本円の方で申し込みます
210 :DNS未登録さん :2012/10/22(月) 21:05:08.55 ID:???.net 最初から謙虚に質問すればいいのに
211 :DNS未登録さん :2012/10/22(月) 21:13:22.44 ID:???.net >>210 あ?
212 :DNS未登録さん :2012/10/23(火) 09:37:24.45 ID:???.net >>200 いくらが希望?
213 :DNS未登録さん :2012/10/25(木) 09:49:04.61 ID:???.net あ? って頭悪いの自分から表現しなくてもいいだろうに。
214 :DNS未登録さん :2012/10/25(木) 13:14:59.75 ID:???.net 艶っぽくて吐息めいた「あ?」なんだよ
215 :DNS未登録さん :2012/10/25(木) 15:14:25.03 ID:???.net あっー!
216 :DNS未登録さん :2012/10/25(木) 17:40:56.12 ID:???.net あ"ーあ"ぁーあー;;;;
217 :DNS未登録さん :2012/11/16(金) 02:08:08.54 ID:???.net ベリサインのEVのページを見てたけど, 弁護士以外にも税理士公認会計士司法書士行政書士公証人の意見書でも 大丈夫になったんだね。 税理士は日頃から付き合いがあるから楽だな。
218 :DNS未登録さん :2012/11/16(金) 02:10:34.03 ID:???.net >>96 D-U-N-S Numberは多くの場合,登記情報から勝手に付番してるみたいで, 当社も例外ではなかったよ。 帝国データバンクのコードもあるから,たぶんこれだけで行けるかな,と 踏んでる。
219 :DNS未登録さん :2012/11/18(日) 11:01:57.09 ID:???.net D-U-N-S Numberの登録情報を更新できたから、EV証明書を申し込んでみたけど、 情報更新は日本のデータベースのみで、海外データベースの情報が更新される までに1ヶ月かかるとか書いてあるサイトがあるorz 急いでるわけでもないし、DNB以外にも確認の方法は定めがあるから、 いいんだけど、どうなるかな。
220 :DNS未登録さん :2012/11/19(月) 15:39:08.37 ID:???.net SSL常時接続ってフーンそういうのがあるんだぁと思っていたら身近にアッタ http://www.hellowork.go.jp
221 :DNS未登録さん :2012/11/19(月) 15:44:11.58 ID:???.net >>220 Googleもトップ以下全部SSL接続になるよ。
222 :DNS未登録さん :2012/11/19(月) 15:45:24.28 ID:???.net >>220 Japanese Government ApplicationCA こんなルート証明書があって、ブラウザが対応してたのか。
223 :DNS未登録さん :2012/11/19(月) 15:49:57.31 ID:???.net サーバーの証明書チェーンが不完全です。署名者が登録されていません。承認しますか?
224 :DNS未登録さん :2012/11/19(月) 15:50:35.74 ID:???.net ってOperaはこうだったけど、Chromeはそのまま通ったわw
225 :DNS未登録さん :2012/11/19(月) 17:35:25.05 ID:???.net >>221 Geotrust +-Google Internet Authority +-*.google.co.jp だった。自社で証明書を発行できるなら楽だな。
226 :DNS未登録さん :2012/11/20(火) 09:37:07.29 ID:???.net お前ら、突っ込みどころはそこじゃない。 >>220 ハローワークが身近なのか。働け。
227 :DNS未登録さん :2012/11/21(水) 01:42:36.17 ID:???.net 人の出入りが激しくて毎月ハロワ通いです(><)
228 :DNS未登録さん :2012/11/21(水) 17:06:26.92 ID:???.net 雇う方か
229 :DNS未登録さん :2012/11/21(水) 17:16:27.44 ID:???.net ブラック企業だね
230 :DNS未登録さん :2012/11/23(金) 03:49:47.72 ID:???.net 自転車駐車場を借りるときに勤務先または通学先までの経路を書く欄が あったから近くのハローワークまでの経路を書いておいた。 読んだ人がハロワ勤務だと思ってくれたかどうかは知らない。
231 :DNS未登録さん :2012/11/23(金) 04:11:48.82 ID:???.net 経路は平文じゃなくSSL通して書けよ
232 :DNS未登録さん :2012/11/23(金) 08:03:40.04 ID:???.net 自宅-(専用トンネル)-ハローワーク飯田橋 これでおk?
233 :DNS未登録さん :2012/12/18(火) 00:46:25.24 ID:???.net EVの審査が進まないから,とりあえずRapidSSLを買って入れてみた。 1年で$9.95 https://www.sslmatrix.com/ssl-brands/rapidssl/rapidssl-certificate ていうかEVって半分以上は自己満足で実は大して売上に影響ない気がする。 なんとなく俺がやってみたいから申請してるだけで。
234 :DNS未登録さん :2012/12/18(火) 00:51:20.89 ID:???.net >>233 影響あるのって銀行とか大手メーカーくらいで中小ならrapidで十分だと思う 一年$9.95って、そこやすくていいね
235 :DNS未登録さん :2012/12/18(火) 00:54:44.51 ID:???.net >>234 中小でもEV入れたら大手っぽく見えるからやってみたかったのさw
236 :DNS未登録さん :2012/12/18(火) 01:02:51.44 ID:???.net >>234 確かに安いんだけど,サイトにもインボイスにも社名も連絡先も書いてない。 結構怖かったけど,使ってるのが2checkoutという決済代行会社で, 2checkoutの機能でpaypalが使えるからそれで払った。 結局sslmatrix.comの正体は不明のまま。 ドメインのwhoisも情報出してないし。なんなんだこれ。 証明書はすぐに発行されて問題なく使えてるけど。
237 :DNS未登録さん :2012/12/18(火) 01:06:01.40 ID:???.net >>236 (1次だと所在明かさないとなれないハズだから)代理店の代理店なのかな? 最近1次にはなれないから2次代理店になりたくて英語サイトあさってるんだけど なかなかそのクラスで卸してくれるとこない
238 :DNS未登録さん :2012/12/18(火) 01:08:31.84 ID:???.net >>237 なるほどねえ。 日本のSSL証明書屋って顧客がすごく限られそうだから大変そうに見えるけど,,
239 :DNS未登録さん :2012/12/18(火) 01:14:23.23 ID:???.net 探せばもっと安いところもあるんだな。 http://www.cheapestssls.com/rapidssl/rapidssl-certificate
240 :DNS未登録さん :2012/12/30(日) 21:31:08.76 ID:???.net GmailへのPOP3メールインポートでSSL使用時に正規の証明書を求められるように なったのがきっかけで、StartSSLの証明書(Class2)を作成しました。 RapidSSLなど通常の証明書よりは高いけど、複数ドメイン運用しているから ワイルドカードやSAN使えるのは便利です。 StartSSLの証明書のSubjectには、作成したアカウントのメールアドレスが 記載されるという記述をブログで見かけたけど、正確にはドメインのValidateで 使用したアドレス(postmaster@など)になります。 (CSR作成時のO,OU,Subjectなどは無視されます)
241 :233 :2013/01/07(月) 14:51:02.46 ID:???.net ついにEV証明書キター
242 :DNS未登録さん :2013/01/09(水) 00:31:40.43 ID:???.net >>241 どこか安いところがあるの? だったら教えてほすい
243 :DNS未登録さん :2013/01/09(水) 03:09:26.98 ID:???.net >>242 sslrenewals.comで、geotrustのEVを上の方にあるクーポンで2年で$225で 申し込んだよ。 審査のメールのやりとりは全部日本語で、元が日本語の書類(登記簿謄本 とか)は全部日本語のままで大丈夫だった。ただし、宣誓書みたいなの は英語でだした。確認の電話も日本語で日本の昼間にかかってきた。 自分だけ英語を理解できれば、書類を全部英訳したりする必要は ないので結構楽だった。
244 :DNS未登録さん :2013/01/09(水) 04:18:44.56 ID:???.net これからEV証明書を取る場合の準備 電話帳に掲載する→1週間ほどで104から確認可能になる 職業別電話帳にも掲載する→1〜2ヶ月でiタウンページから検索可能に 登記上の本店所在地と,実質的な本店所在地を一致させる 定款に英文社名の表記を定める→株主総会,社員総会議事録の整備,新定款作成 D-U-N-S Number検索で自社の情報を調べて,誤りがあれば訂正 ドメインのwhois情報に社名や連絡先を登録しておく これだけやっておけば,すぐに確認ができて発行されるはず。
245 :DNS未登録さん :2013/01/09(水) 09:58:34.85 ID:???.net >>244 TDB, TSRなどの外部信用情報会社の基本情報の情報更新もあるな。 GeoTrustはどっちも見ないはずだけど、いい機会だから更新しておいた。
246 :DNS未登録さん :2013/01/10(木) 17:43:08.10 ID:???.net 日本企業のD-U-N-Sナンバー管理はTSRじゃなかったっけ
247 :DNS未登録さん :2013/01/10(木) 19:32:23.94 ID:???.net >>246 そうそう。 でもTSR企業コードとD-U-N-S Numberは別で,情報もそれぞれ別。 TSR独自で取材している企業はTSR企業コードを持ってる。
248 :DNS未登録さん :2013/01/24(木) 11:30:24.40 ID:???.net ワイルドカード型の証明書って、 hoge.jp のほかに www.hoge.jp ftp.hoge.jp とかできること書かれてるけど www.hage.hoge.jp とか、サブドメインの更に下にホスト名かいてもいいの?
249 :DNS未登録さん :2013/01/24(木) 14:16:58.17 ID:???.net https の場合はだめ。RFC 2818 Http Over SSL, section 3.1 で Names may contain the wildcard character * which is considered to match any single domain name component or component fragment. E.g., *.a.com matches foo.a.com but not bar.foo.a.com となってる。CN の解釈は利用するプロトコルの方で決めることになってるので、 https 以外ならいけるのがあるかもしれない。
250 :DNS未登録さん :2013/01/25(金) 09:45:00.14 ID:???.net 横からだが参考になった
251 :DNS未登録さん :2013/01/25(金) 10:37:36.09 ID:???.net >>249 わかりやすい説明d
252 :DNS未登録さん :2013/01/29(火) 14:42:19.44 ID:???.net >>248 最近は、ワイルドカードとSAN (Subject Alternative Name) の両方を使えるものもあるから、階層深いのは後者で。
253 :DNS未登録さん :2013/01/30(水) 01:46:36.38 ID:???.net >>252 さすがにこういうのはだめだよね? *.*.hoge.jp
254 :DNS未登録さん :2013/01/30(水) 02:29:12.39 ID:???.net SAN に *. 使えるのか... Common Name : *.wikipedia.org Subject Alternative Names : *.wikipedia.org, wikipedia.org, m.wikipedia.org, *.m.wikipedia.org *.*. はだめだと思うけど
255 :DNS未登録さん :2013/01/30(水) 23:45:19.40 ID:???.net >>254 自分もStartSSLで発行して使ってます。 ところでみんなはまだSHA-1? この記事みてSHA-256にしてみたよ。 ttps://www.verisign.co.jp/press/2012/pr_20120328.html
256 :DNS未登録さん :2013/02/01(金) 19:47:18.40 ID:???.net >>255 ハッシュ関数もそうだが、RSA鍵の長さもな。
257 :DNS未登録さん :2013/02/02(土) 03:15:54.04 ID:???.net >>256 そんなにアクセスがあるわけではないけどopenssl speed rsaの 実行結果みて4096ではなく2048にしてしまった。
258 :DNS未登録さん :2013/02/03(日) 13:28:50.06 ID:???.net >>255 私もStartSSLです。発行し放題なのでついつい必要のないところまでSSLにしてしまうのが…^^; SHA-256 + 4096bits だったりします。速度より安全重視?
259 :DNS未登録さん :2013/02/15(金) 12:34:27.64 ID:???.net ベリサイン、RSAよりも負荷が軽いECC(楕円曲線暗号)をSSL証明書に採用 http://itpro.nikkeibp.co.jp/article/NEWS/20130214/456308/
260 :DNS未登録さん :2013/02/20(水) 18:17:34.11 ID:???.net 偉いおじさん、ちょっと教えて下さい VPSでIPアドレスを1つ持ってて複数のドメインを運営してて 例えば、AAA.comでSSLを使うと BBB.jpでは認証取れなくなるの? IPひとつに対して認証は1つ、みたいにどっかで見た気がするので
261 :DNS未登録さん :2013/02/20(水) 18:37:05.58 ID:???.net 認証って何の認証? 証明書取るのにはIPアドレス関係無いよ。 使用時はIPアドレス1つにSSLドメインは1つだよ、逆引きで一致しないと 警告出るからね。
262 :DNS未登録さん :2013/02/20(水) 21:16:52.56 ID:???.net それは運用の仕方による。今はサーバーもブラウザもバーチャルドメインでのSSL運用に対応してるから。スマートシールとかは知らんけど。 詳しくは、バーチャルドメイン+SSLでぐぐれ
263 :260 :2013/02/20(水) 22:51:44.36 ID:???.net あ、認証じゃなくて証明書か。 バーチャルホスト使ったテスト用サイトでstartSSLの証明書はセット出来た。 そんで本番用のサイトにrapidSSL申し込んだりしたらIP同じだから問題あるよな?って心配したんだ。 逆引きの件はじっくり調べてみる。 ありがとうございました。
264 :DNS未登録さん :2013/02/21(木) 00:08:58.27 ID:Dh5cd3UC.net 証明書取るのにIPとか逆引きとか関係ないよ。 普通にWEBサーバでバーチャルドメインするだけなら今時は普通対応してるから大丈夫。
265 :DNS未登録さん :2013/02/21(木) 15:21:16.06 ID:???.net >>262 非対応ブラウザ結構なかったっけ? 切り捨てるつもりならいいけど、出来るだけ多くの人に見て欲しいサイトなら SSLサイトごとにIPアドレスをつけるのがいいかと
266 :DNS未登録さん :2013/02/21(木) 15:43:15.19 ID:???.net IE6くらいだろ? 切り捨てろよ、そんなもん
267 :DNS未登録さん :2013/02/21(木) 17:25:06.53 ID:???.net >>266 Android 2.x のブラウザ[32] (Honeycomb for tablets と Ice Cream Sandwich for phones では対応) これ結構残ってないかな?
268 :DNS未登録さん :2013/02/22(金) 14:25:23.27 ID:???.net IPベースのバーチャルホストが複数のSSL証明書が利用できないのは FQDNが決まらないとサーバ側がどの証明書つかっていいかわからないが FQDNが分かるのは複合してからという缶切りは缶詰の中状態なせい。 解決するには ・ポートベース(80,443ポート以外だと接続できないクライアント環境がある) ・SNI(対応してないブラウザが多い) 等がある。 SNI非対応で問題になるのは以下の通り ・IE6(いまさらどうでもいい気がする) ・XPの人(IE8でもXPだとダメ) ・android 2.x系の人 ・wii,playstation(どうでもいい) ・ガラケーの大部分(めんどくさいから細かくは調べて無い) 特に問題なのはandroid 2.xで 「2013年1月3日現在のGoogle Play Storeへのアクセス統計によるバージョンごとの世界シェア」で50%以上を締めてる http://ja.wikipedia.org/wiki/Android#.E3.83.90.E3.83.BC.E3.82.B8.E3.83.A7.E3.83.B3_2 世界中がIPv6対応になる日が先かSNIの普及(古い環境の駆逐)が先かって感じだな
269 :DNS未登録さん :2013/02/22(金) 15:53:37.48 ID:???.net CA/Browser ForumのBaseline Requirement 1.0では、CAが発行する証明書について subjectAltName: 必須 commonName: 推奨されない(でも禁止しない) となってる http://cabforum.org/Baseline_Requirements_V1.pdf https://jp.globalsign.com/repository/baseline_requirements_ja.pdf ttp://co-akuma.directorz.jp/blog/2012/05/baseline-requirement%E3%81%A8%E3%81%AF%EF%BC%9F/
270 :DNS未登録さん :2013/02/22(金) 16:24:49.98 ID:???.net サービス提供会社の信頼性に依存するけど クライアント ↓ SSL なにかサービス ↓ SSLでproxy ポートベースのVH ってしてくれるサービスがVPSより格安であったらよさげだね
271 :DNS未登録さん :2013/03/03(日) 21:12:42.78 ID:EivOJNOt.net 個人事業主だとアドレスバー緑に出来ない?
272 :DNS未登録さん :2013/03/03(日) 21:20:49.09 ID:???.net 登記していればできる
273 :DNS未登録さん :2013/03/03(日) 21:52:54.00 ID:???.net >>272 ざくっと調べたところ「商号登記」ってのが手軽そう。で、商号登記簿謄本の写しとそれを英訳した物を資料として用意したりすんのかな? 後は自分で調べてみる。ありがとう。
274 :DNS未登録さん :2013/03/03(日) 22:20:33.83 ID:???.net あれ、商号登記あっても個人だとEVは無理だったと思う。 どこの認証局で出してる?
275 :DNS未登録さん :2013/04/21(日) 23:02:05.60 ID:???.net ルート証明書入ってても確認メッセージが出る古い携帯があります OK押せばきちんとSSLマークも出て通信されますが、 比較的新しい携帯のように確認自体が出ないもんかと思っていましたが そういうもんなんでしょうかね? 具体的にはEquifax Secure Certificate AuthorityでSoftBankの810T ↓の"SSL証明書一覧"見る限りでは○になってるんですけど ttp://creation.mb.softbank.jp/mc/tech/tech_web/web_docandtools.html
276 :DNS未登録さん :2013/04/22(月) 05:46:42.17 ID:???.net >>275 どのような確認メッセージだったの?
277 :DNS未登録さん :2013/04/22(月) 11:42:51.53 ID:???.net >>275 携帯の時間有ってる? クロスルート証明書の設定してある?
278 :275 :2013/04/22(月) 18:53:30.67 ID:???.net >>277 携帯の時間、ドンピシャです! (始めに設定してたつもりが電池抜いたり指したりしてたら過去に戻ってしまっていました・・・) >>276 確認メッセージ自体は機種によると思いますが、 「このサイトは安全ではない可能性があります。接続しますか?」 というものでした どうもありがとうございました! 数年ぶりに携帯サイト弄ることになって色々情報を確認してみると、 auの旧800MHz帯関係で古い機種サポートしなくても良くなっていたり (手持ちの該当機種にSIMカード入れても圏外になるので始め故障かと思いました)、 携帯サポートもRapidSSLでほぼ十分(当時はThawte使ってました)になっていたり、 浦島太郎状態でした スマホ時代なので証明書に関してはあまり意識しなくてもよい時代になった感じですね
279 :DNS未登録さん :2013/04/23(火) 11:16:47.23 ID:???.net 2010年問題(2012年問題)のおかげで どの会社の使ってもカバレッジ100%に出来なくなったから RapidSSLで十分だよね。 シールなんかあっても誰も見て無いなぁ
280 :DNS未登録さん :2013/04/23(火) 11:24:04.66 ID:???.net いっそのこと共用SSLでも…
281 :DNS未登録さん :2013/04/23(火) 23:31:02.78 ID:???.net >>279 当サイトは○○の高度なセキュリティ技術と証明書によってお客様の プライバシーや通信内容が強力に保護されていることを知っていましたか? ・知っていた ・今知った って項目をSSLサイトに作ればいい。
282 :DNS未登録さん :2013/05/09(木) 16:21:02.73 ID:???.net OpenSSLのインストールがうまくいかなくて困り、ここで質問しようとしたら、その前に自己解決しました。 http://www.shinbo.org/archives/631 ↑この通りにやったら、とりあえずOpenSSLの最新版(1.0.1e)の導入に成功。 次の目標は、Apacheを入れて、自己認証局を建てて、オレオレ証明書でSSLを利用可能にすることです。 うまく行かなかったら、またここで質問させていただきます。よろしく!
283 :DNS未登録さん :2013/05/09(木) 18:49:28.00 ID:???.net お引き取り下さい。 あなたのような無能クズが来ていいスレではありません。
284 :282 :2013/05/18(土) 18:18:29.35 ID:???.net http://thinkit.co.jp/free/article/0706/3/7/ http://www.oss-d.net/apache2.2-php5.3 あたりの説明通りにやったら、テストサーバーでは、オレオレ証明書(ワイルドカード対応=*.ドメイン名)でSSLができるようになりました。 本番サーバー(さくらVPS)でやったら、https:// でページは表示されるけど、ディレクトリが別々になっているVirtaulHostのトップページが表示されず、ドキュメントルートのトップページが表示されてしまった。 httpd.conf、vhost.conf、ssl.confあたりの設定をいじっているけど直らない>< どうすれば直るでしょうか?アドバイスよろしくお願いします。
285 :282 :2013/05/18(土) 18:22:02.46 ID:???.net 環境は、CentOS5.9+Apache2.2.3+OpenSSL1.0.1です。 <VirtualHost *:443> ServerName domain.com:443 DocumentRoot /var/www/html/domain.com SSLEngine on SSLCertificateFile /etc/pki/tls/certs/server.crt SSLCertificateKeyFile /etc/pki/tls/private/server.key </VirtualHost> こんなかんじですが、正常なページが表示されませんね〜><
286 :282 :2013/05/18(土) 18:24:01.14 ID:???.net >>283 どんな達人でも、最初はみんな初心者だった。 だから、私はどんなにスキルアップしても、初心者に親切にしてあげようと思っています。 皆さんも私に親切にしてください。よろしくお願いします。m(__)m
287 :DNS未登録さん :2013/05/18(土) 18:43:07.58 ID:???.net >>285 エラーログは?
288 :282 :2013/05/18(土) 20:30:24.15 ID:???.net >>287 アドバイスありがとうございます。エラーログを見て、改善を図り、トップページまでは見えるようになりました。 # pwd /var/log/httpd # ls ssl* ssl_access_log ssl_error_log ssl_request_logPHP5.4+CodeIgniter2を使ってるのですが、他のページが見えないのは、Rewriteルールの記述の問題みたいでした。原因の切り分けができたら、またこちらで質問させていただきます。
289 :DNS未登録さん :2013/05/22(水) 23:48:56.76 ID:???.net >>286 お断りします。
290 :DNS未登録さん :2013/05/23(木) 07:03:36.89 ID:???.net >>288 男割します。
291 :DNS未登録さん :2013/05/23(木) 07:05:01.77 ID:???.net というか、エラーログみないレベルのキチガイがSSLとか10桁万年早い。
292 :ロジャー毛皮 :2013/05/23(木) 14:48:13.38 ID:uzQ3v80k!.net RapidSSLの証明書は一意に企業は低コストのSSL certificates.Theyがeコマースやセキュアログインエリアを提供するサイトの光のレベルを行うウェブサイトに適しています信頼できる、完全に機能する単一のルートを取得することができます。 ClickSSL - http://www.clickssl.com/ssl-certificates/rapidssl
293 :282 :2013/05/25(土) 14:19:19.01 ID:???.net Nginx1.2.4+OpenSSL1.0.0で、オレオレ証明書のSSL通信ができました。 Nginxの設定は、Apacheと比べて、超簡単でした! Apacheのmod_rewriteは、正規表現を復習して、再チャレンジしたいと思います。 >>289-292 どうもありがとうございます。
294 :DNS未登録さん :2013/05/30(木) 10:25:29.56 ID:???.net example.comでwwwサーバ、メールサーバ、sshサーバを運営したいんだけど、 www有りのコモンネームで証明書を取得すれば、SANsの機能で www有り・無し関係なくSSL通信ができるという認識であってますか?
295 :DNS未登録さん :2013/05/30(木) 12:54:39.57 ID:fRd8fKHo.net >>294 example.com と www.example.com の両方がSANで含まれた証明書ならね。 でも、普通は www.example.com の証明書を取得したら example.com は含まれないと考えるべき。 追加料金で両方含めれたり、逆にexample.comは最初から勝手に含まれてたりとか、認証局によって違う。
296 :DNS未登録さん :2013/05/31(金) 07:49:15.56 ID:???.net >>295 example.com (wwwなし)の証明書って必要?
297 :DNS未登録さん :2013/05/31(金) 12:17:19.50 ID:???.net ComodoのPositive SSLって安いな ttp://www.gogetssl.com/domain-validation/ Positive SSL CNがexample.comにSANでwww.example.com Rapid SSL CNがwww.example.comにSANでexample.com だったはず
298 :DNS未登録さん :2013/05/31(金) 13:31:04.18 ID:???.net 認証局を立ててぼろもうけしたいんですが、 親にしたい認証局で何を買ってくればいいんですか?
299 :DNS未登録さん :2013/05/31(金) 16:48:31.50 ID:ha9l9tT5.net >>298 馬鹿なの? マジレスすると自分の作ったCA証明書を、 各種ブラウザやアプリやOSにデフォルトでインストールしてくれるよう 全世界に対して頑張って営業すればよい。
300 :DNS未登録さん :2013/06/02(日) 08:35:31.77 ID:???.net (1) RapidSSLで安いサーバー証明書を1個買う (2) 自分で中間認証局を作り、RapidSSLのサーバー証明書を割り当てる (3) 自分で、自分用の他のサーバー証明書を量産する ってことはできるものでしょうか? 要するに、自分で運営しているWebサイト(ドメインがいろいろある)を(1)でまかなうケチケチ作戦です(・∀・) ttp://e-words.jp/w/E4B8ADE99693E8AA8DE8A8BCE5B180.html ttps://www.verisign.co.jp/basic/pki/trust/index_4.html
301 :DNS未登録さん :2013/06/02(日) 19:01:05.76 ID:???.net できない。 あなたのサーバ用の証明書は、そのサーバ(ドメイン)でしか使えない。 中間認証局用のキーは別に存在する。 まえに中間認証局用のキーが漏れたことがあって、大量に証明書を偽装する事件があったが。
302 :DNS未登録さん :2013/06/02(日) 19:06:03.97 ID:???.net あった、あった、結構最近だったw http://internet.watch.impress.co.jp/docs/news/20130107_580795.html
303 :DNS未登録さん :2013/06/03(月) 07:50:44.66 ID:???.net >>300 証明書には「その証明書で他の証明書を発行していいか」 (中間証明書になってもいいか)というフラグがあり、 通常の証明書ではそれがfalseになっているので、無理。 具体的にはX509v3 Basic Constraints: CAの値。 もちろんそれも証明書の署名範囲内なので、無理矢理書き換えれば無効な証明書になる。
304 :DNS未登録さん :2013/06/04(火) 09:57:43.60 ID:???.net >>301-303 参考になりました。どうもありがとうございます。 中間証明書というのがないと、自分で公的な中間認証局を設置できないんですね>< →自分で中間認証局を作りたい場合、中間証明書ってのは、販売されているものなのでしょうか?(聞いたことないです) 普通の用途とは違って、特別なかんじがするから、販売されていたとしても、条件が厳しい・値段が高そうですね?
305 :DNS未登録さん :2013/06/04(火) 10:50:28.97 ID:???.net リセラーで調べたら
306 :DNS未登録さん :2013/06/04(火) 11:39:58.91 ID:UyEJo1f2.net >>304 いまいち理解してないようだが、認証局作るだけならopenssl使って誰も普通に作れるよ。 で、自分で作った認証局でいくらでも証明書の発行するのも自由。 自分のブラウザに「自分の認証局の証明書をインストール」さえしておけば、 自分で発行した証明書もブラウザは正規の証明書として認識するようになる。 そういう意味では発行し放題。 でもその行為(=得体のしれない認証局の証明書をインストール)は、 要は自分のブラウザのセキュリティを下げてるってことなのよ。 だって、google や yahoo の偽物証明書が返ってきたとしてもエラーにならないから フィッシングやウィルスの仕込みだってやりたい放題になる。 それが自分にインストール済みの認証局が発行したものだったらブラウザは信じちゃうわけだからね。 なのでテスト目的で自分で作った自分が信頼する認証局を使って自分でやる分には問題ないし。 自分がホンの欠片も疑いを持たないような全幅の信頼を置いている友人が立てた認証局を信頼するのであればやってもよいことになる。 まぁ、俺なら例え友人や家族だろうと素人が立てた認証局なんてインストールしたくないわ。 要は認証局とか証明書っていうのは、信頼の連鎖なわけよ。 俺が信頼すると決めた奴の言うことは俺も100%信頼する、という、さ。 公的な認証局になるってことは他人のセキュリティを支配可能になるということとほぼ同じ。 だから国とか特別な公的な団体とか色んな人間に日々監査され信頼された大企業とか、 特別に「信頼出来る組織」が運用してる認証局しか基本使えないし、使わないの。 OSやブラウザにデフォルトでインストールされている認証局ってのはそういう存在なの。 これだけ説明すれば個人が公的な認証局になるなんてことはほぼ不可能だと分かるだろ?
169 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200
本文 スレッドタイトル 投稿者