２ちゃんねる ■掲示板に戻る■ 全部 1- 最新50

【認証局】SSLに関するスレ 2枚目【ぼろ儲け】

1 ：DNS未登録さん：2010/10/08(金) 19:15:04 ID:D3awGtmQ.net: 誰も立てないようなので立てた。

【主な認証局】

VeriSign : http://www.verisign.com/ , http://www.verisign.co.jp/

Thawte : http://www.thawte.com/ , http://www.jp.thawte.com/ (親会社は VeriSign)

CyberTrust: http://www.cybertrust.com/ , http://www.cybertrust.ne.jp/

GeoTrust : http://www.geotrust.com/ , http://www.geotrust.co.jp/ (親会社は VeriSign)

RapidSSL : http://www.rapidssl.com/ (親会社は VeriSign)

Comodo : http://comodo.com/ , http://www.comodojapan.com/

GoDaddy (StarField) : http://www.godaddy.com/

GlobalSign : http://www.globalsign.com/ , http://jp.globalsign.com/

Secure Business Services: http://www.securebusinessservices.com/

セコム : http://www.secomtrust.net/service/ninsyo/forweb.html

StartSSL : http://www.startssl.com/

CAcert.org : http://www.cacert.org/ (※ほとんどのブラウザにルート証明書が含まれていない)
232 ：DNS未登録さん：2012/11/23(金) 08:03:40.04 ID:???.net: 自宅-(専用トンネル)-ハローワーク飯田橋
これでおｋ？
233 ：DNS未登録さん：2012/12/18(火) 00:46:25.24 ID:???.net: EVの審査が進まないから，とりあえずRapidSSLを買って入れてみた。
１年で$9.95
https://www.sslmatrix.com/ssl-brands/rapidssl/rapidssl-certificate

ていうかEVって半分以上は自己満足で実は大して売上に影響ない気がする。
なんとなく俺がやってみたいから申請してるだけで。
234 ：DNS未登録さん：2012/12/18(火) 00:51:20.89 ID:???.net: >>233
影響あるのって銀行とか大手メーカーくらいで中小ならrapidで十分だと思う

一年$9.95って、そこやすくていいね
235 ：DNS未登録さん：2012/12/18(火) 00:54:44.51 ID:???.net: >>234
中小でもEV入れたら大手っぽく見えるからやってみたかったのさｗ
236 ：DNS未登録さん：2012/12/18(火) 01:02:51.44 ID:???.net: >>234
確かに安いんだけど，サイトにもインボイスにも社名も連絡先も書いてない。
結構怖かったけど，使ってるのが2checkoutという決済代行会社で，
2checkoutの機能でpaypalが使えるからそれで払った。
結局sslmatrix.comの正体は不明のまま。
ドメインのwhoisも情報出してないし。なんなんだこれ。

証明書はすぐに発行されて問題なく使えてるけど。
237 ：DNS未登録さん：2012/12/18(火) 01:06:01.40 ID:???.net: >>236
(1次だと所在明かさないとなれないハズだから)代理店の代理店なのかな？
最近１次にはなれないから２次代理店になりたくて英語サイトあさってるんだけど
なかなかそのクラスで卸してくれるとこない
238 ：DNS未登録さん：2012/12/18(火) 01:08:31.84 ID:???.net: >>237
なるほどねえ。
日本のSSL証明書屋って顧客がすごく限られそうだから大変そうに見えるけど，，
239 ：DNS未登録さん：2012/12/18(火) 01:14:23.23 ID:???.net: 探せばもっと安いところもあるんだな。
http://www.cheapestssls.com/rapidssl/rapidssl-certificate
240 ：DNS未登録さん：2012/12/30(日) 21:31:08.76 ID:???.net: GmailへのPOP3メールインポートでSSL使用時に正規の証明書を求められるように
なったのがきっかけで、StartSSLの証明書(Class2)を作成しました。

RapidSSLなど通常の証明書よりは高いけど、複数ドメイン運用しているから
ワイルドカードやSAN使えるのは便利です。

StartSSLの証明書のSubjectには、作成したアカウントのメールアドレスが
記載されるという記述をブログで見かけたけど、正確にはドメインのValidateで
使用したアドレス(postmaster@など)になります。
(CSR作成時のO,OU,Subjectなどは無視されます)
241 ：233：2013/01/07(月) 14:51:02.46 ID:???.net: ついにEV証明書ｷﾀｰ
242 ：DNS未登録さん：2013/01/09(水) 00:31:40.43 ID:???.net: >>241
どこか安いところがあるの? だったら教えてほすい
243 ：DNS未登録さん：2013/01/09(水) 03:09:26.98 ID:???.net: >>242
sslrenewals.comで、geotrustのEVを上の方にあるクーポンで2年で$225で
申し込んだよ。

審査のメールのやりとりは全部日本語で、元が日本語の書類（登記簿謄本
とか）は全部日本語のままで大丈夫だった。ただし、宣誓書みたいなの
は英語でだした。確認の電話も日本語で日本の昼間にかかってきた。
自分だけ英語を理解できれば、書類を全部英訳したりする必要は
ないので結構楽だった。
244 ：DNS未登録さん：2013/01/09(水) 04:18:44.56 ID:???.net: これからEV証明書を取る場合の準備

電話帳に掲載する→１週間ほどで１０４から確認可能になる
職業別電話帳にも掲載する→１～２ヶ月でｉタウンページから検索可能に
登記上の本店所在地と，実質的な本店所在地を一致させる
定款に英文社名の表記を定める→株主総会，社員総会議事録の整備，新定款作成
D-U-N-S Number検索で自社の情報を調べて，誤りがあれば訂正
ドメインのwhois情報に社名や連絡先を登録しておく

これだけやっておけば，すぐに確認ができて発行されるはず。
245 ：DNS未登録さん：2013/01/09(水) 09:58:34.85 ID:???.net: >>244
TDB, TSRなどの外部信用情報会社の基本情報の情報更新もあるな。
GeoTrustはどっちも見ないはずだけど、いい機会だから更新しておいた。
246 ：DNS未登録さん：2013/01/10(木) 17:43:08.10 ID:???.net: 日本企業のD-U-N-Sナンバー管理はTSRじゃなかったっけ
247 ：DNS未登録さん：2013/01/10(木) 19:32:23.94 ID:???.net: >>246
そうそう。
でもTSR企業コードとD-U-N-S Numberは別で，情報もそれぞれ別。
TSR独自で取材している企業はTSR企業コードを持ってる。
248 ：DNS未登録さん：2013/01/24(木) 11:30:24.40 ID:???.net: ワイルドカード型の証明書って、
hoge.jp のほかに www.hoge.jp　ftp.hoge.jp　とかできること書かれてるけど
www.hage.hoge.jp とか、サブドメインの更に下にホスト名かいてもいいの？
249 ：DNS未登録さん：2013/01/24(木) 14:16:58.17 ID:???.net: https の場合はだめ。RFC 2818 Http Over SSL, section 3.1 で

Names may contain the wildcard character * which is considered to
match any single domain name component or component fragment. E.g.,
*.a.com matches foo.a.com but not bar.foo.a.com

となってる。CN の解釈は利用するプロトコルの方で決めることになってるので、
https 以外ならいけるのがあるかもしれない。
250 ：DNS未登録さん：2013/01/25(金) 09:45:00.14 ID:???.net: 横からだが参考になった
251 ：DNS未登録さん：2013/01/25(金) 10:37:36.09 ID:???.net: >>249
わかりやすい説明㌧
252 ：DNS未登録さん：2013/01/29(火) 14:42:19.44 ID:???.net: >>248
最近は、ワイルドカードとSAN (Subject Alternative Name) の両方を使えるものもあるから、階層深いのは後者で。
253 ：DNS未登録さん：2013/01/30(水) 01:46:36.38 ID:???.net: >>252
さすがにこういうのはだめだよね？
*.*.hoge.jp
254 ：DNS未登録さん：2013/01/30(水) 02:29:12.39 ID:???.net: SAN に *. 使えるのか...
Common Name : *.wikipedia.org
Subject Alternative Names : *.wikipedia.org, wikipedia.org, m.wikipedia.org, *.m.wikipedia.org
*.*. はだめだと思うけど
255 ：DNS未登録さん：2013/01/30(水) 23:45:19.40 ID:???.net: >>254
自分もStartSSLで発行して使ってます。

ところでみんなはまだSHA-1？
この記事みてSHA-256にしてみたよ。
ttps://www.verisign.co.jp/press/2012/pr_20120328.html
256 ：DNS未登録さん：2013/02/01(金) 19:47:18.40 ID:???.net: >>255
ハッシュ関数もそうだが、RSA鍵の長さもな。
257 ：DNS未登録さん：2013/02/02(土) 03:15:54.04 ID:???.net: >>256
そんなにアクセスがあるわけではないけどopenssl speed rsaの
実行結果みて4096ではなく2048にしてしまった。
258 ：DNS未登録さん：2013/02/03(日) 13:28:50.06 ID:???.net: >>255
私もStartSSLです。発行し放題なのでついつい必要のないところまでSSLにしてしまうのが…^^;

SHA-256 + 4096bits だったりします。速度より安全重視?
259 ：DNS未登録さん：2013/02/15(金) 12:34:27.64 ID:???.net: ベリサイン、RSAよりも負荷が軽いECC（楕円曲線暗号）をSSL証明書に採用
http://itpro.nikkeibp.co.jp/article/NEWS/20130214/456308/
260 ：DNS未登録さん：2013/02/20(水) 18:17:34.11 ID:???.net: 偉いおじさん、ちょっと教えて下さい
VPSでIPアドレスを１つ持ってて複数のドメインを運営してて
例えば、AAA.comでSSLを使うと　BBB.jpでは認証取れなくなるの？

IPひとつに対して認証は１つ、みたいにどっかで見た気がするので
261 ：DNS未登録さん：2013/02/20(水) 18:37:05.58 ID:???.net: 認証って何の認証？
証明書取るのにはIPアドレス関係無いよ。
使用時はIPアドレス1つにSSLドメインは1つだよ、逆引きで一致しないと
警告出るからね。
262 ：DNS未登録さん：2013/02/20(水) 21:16:52.56 ID:???.net: それは運用の仕方による。今はサーバーもブラウザもバーチャルドメインでのSSL運用に対応してるから。スマートシールとかは知らんけど。
詳しくは、バーチャルドメイン+SSLでぐぐれ
263 ：260：2013/02/20(水) 22:51:44.36 ID:???.net: あ、認証じゃなくて証明書か。
バーチャルホスト使ったテスト用サイトでstartSSLの証明書はセット出来た。
そんで本番用のサイトにrapidSSL申し込んだりしたらIP同じだから問題あるよな？って心配したんだ。
逆引きの件はじっくり調べてみる。
ありがとうございました。
264 ：DNS未登録さん：2013/02/21(木) 00:08:58.27 ID:Dh5cd3UC.net: 証明書取るのにIPとか逆引きとか関係ないよ。
普通にWEBサーバでバーチャルドメインするだけなら今時は普通対応してるから大丈夫。
265 ：DNS未登録さん：2013/02/21(木) 15:21:16.06 ID:???.net: >>262
非対応ブラウザ結構なかったっけ?
切り捨てるつもりならいいけど、出来るだけ多くの人に見て欲しいサイトなら
SSLサイトごとにIPアドレスをつけるのがいいかと
266 ：DNS未登録さん：2013/02/21(木) 15:43:15.19 ID:???.net: IE6くらいだろ? 切り捨てろよ、そんなもん
267 ：DNS未登録さん：2013/02/21(木) 17:25:06.53 ID:???.net: >>266
Android 2.x のブラウザ[32] (Honeycomb for tablets と Ice Cream Sandwich
for phones では対応)
これ結構残ってないかな？
268 ：DNS未登録さん：2013/02/22(金) 14:25:23.27 ID:???.net: IPベースのバーチャルホストが複数のSSL証明書が利用できないのは
FQDNが決まらないとサーバ側がどの証明書つかっていいかわからないが
FQDNが分かるのは複合してからという缶切りは缶詰の中状態なせい。

解決するには
・ポートベース(80,443ポート以外だと接続できないクライアント環境がある)
・SNI(対応してないブラウザが多い)
等がある。

SNI非対応で問題になるのは以下の通り
・IE6(いまさらどうでもいい気がする)
・XPの人(IE8でもXPだとダメ)
・android 2.x系の人
・wii,playstation(どうでもいい)
・ガラケーの大部分(めんどくさいから細かくは調べて無い)

特に問題なのはandroid 2.xで
「2013年1月3日現在のGoogle Play Storeへのアクセス統計によるバージョンごとの世界シェア」で50%以上を締めてる
http://ja.wikipedia.org/wiki/Android#.E3.83.90.E3.83.BC.E3.82.B8.E3.83.A7.E3.83.B3_2

世界中がIPv6対応になる日が先かSNIの普及(古い環境の駆逐)が先かって感じだな
269 ：DNS未登録さん：2013/02/22(金) 15:53:37.48 ID:???.net: CA/Browser ForumのBaseline Requirement 1.0では、CAが発行する証明書について
subjectAltName: 必須
commonName: 推奨されない(でも禁止しない)
となってる

http://cabforum.org/Baseline_Requirements_V1.pdf
https://jp.globalsign.com/repository/baseline_requirements_ja.pdf
ttp://co-akuma.directorz.jp/blog/2012/05/baseline-requirement%E3%81%A8%E3%81%AF%EF%BC%9F/
270 ：DNS未登録さん：2013/02/22(金) 16:24:49.98 ID:???.net: サービス提供会社の信頼性に依存するけど
クライアント
　↓ SSL
なにかサービス
　↓ SSLでproxy
ポートベースのVH
ってしてくれるサービスがVPSより格安であったらよさげだね
271 ：DNS未登録さん：2013/03/03(日) 21:12:42.78 ID:EivOJNOt.net: 個人事業主だとアドレスバー緑に出来ない？
272 ：DNS未登録さん：2013/03/03(日) 21:20:49.09 ID:???.net: 登記していればできる
273 ：DNS未登録さん：2013/03/03(日) 21:52:54.00 ID:???.net: >>272
ざくっと調べたところ「商号登記」ってのが手軽そう。で、商号登記簿謄本の写しとそれを英訳した物を資料として用意したりすんのかな？
後は自分で調べてみる。ありがとう。
274 ：DNS未登録さん：2013/03/03(日) 22:20:33.83 ID:???.net: あれ、商号登記あっても個人だとEVは無理だったと思う。
どこの認証局で出してる？
275 ：DNS未登録さん：2013/04/21(日) 23:02:05.60 ID:???.net: ルート証明書入ってても確認メッセージが出る古い携帯があります
OK押せばきちんとSSLマークも出て通信されますが、
比較的新しい携帯のように確認自体が出ないもんかと思っていましたが
そういうもんなんでしょうかね？

具体的にはEquifax Secure Certificate AuthorityでSoftBankの810T
↓の"SSL証明書一覧"見る限りでは○になってるんですけど
ttp://creation.mb.softbank.jp/mc/tech/tech_web/web_docandtools.html
276 ：DNS未登録さん：2013/04/22(月) 05:46:42.17 ID:???.net: >>275
どのような確認メッセージだったの？
277 ：DNS未登録さん：2013/04/22(月) 11:42:51.53 ID:???.net: >>275
携帯の時間有ってる？
クロスルート証明書の設定してある？
278 ：275：2013/04/22(月) 18:53:30.67 ID:???.net: >>277
携帯の時間、ドンピシャです！
(始めに設定してたつもりが電池抜いたり指したりしてたら過去に戻ってしまっていました･･･)

>>276
確認メッセージ自体は機種によると思いますが、
「このサイトは安全ではない可能性があります。接続しますか？」
というものでした

どうもありがとうございました！

数年ぶりに携帯サイト弄ることになって色々情報を確認してみると、
auの旧800MHz帯関係で古い機種サポートしなくても良くなっていたり
(手持ちの該当機種にSIMカード入れても圏外になるので始め故障かと思いました)、
携帯サポートもRapidSSLでほぼ十分(当時はThawte使ってました)になっていたり、
浦島太郎状態でした

スマホ時代なので証明書に関してはあまり意識しなくてもよい時代になった感じですね
279 ：DNS未登録さん：2013/04/23(火) 11:16:47.23 ID:???.net: 2010年問題(2012年問題)のおかげで
どの会社の使ってもカバレッジ100%に出来なくなったから
RapidSSLで十分だよね。
シールなんかあっても誰も見て無いなぁ
280 ：DNS未登録さん：2013/04/23(火) 11:24:04.66 ID:???.net: いっそのこと共用SSLでも…
281 ：DNS未登録さん：2013/04/23(火) 23:31:02.78 ID:???.net: >>279
当サイトは○○の高度なセキュリティ技術と証明書によってお客様の
プライバシーや通信内容が強力に保護されていることを知っていましたか？
・知っていた
・今知った
って項目をSSLサイトに作ればいい。
282 ：DNS未登録さん：2013/05/09(木) 16:21:02.73 ID:???.net: OpenSSLのインストールがうまくいかなくて困り、ここで質問しようとしたら、その前に自己解決しました。
http://www.shinbo.org/archives/631
↑この通りにやったら、とりあえずOpenSSLの最新版（1.0.1e)の導入に成功。
次の目標は、Apacheを入れて、自己認証局を建てて、オレオレ証明書でSSLを利用可能にすることです。
うまく行かなかったら、またここで質問させていただきます。よろしく！
283 ：DNS未登録さん：2013/05/09(木) 18:49:28.00 ID:???.net: お引き取り下さい。
あなたのような無能クズが来ていいスレではありません。
284 ：282：2013/05/18(土) 18:18:29.35 ID:???.net: http://thinkit.co.jp/free/article/0706/3/7/
http://www.oss-d.net/apache2.2-php5.3
あたりの説明通りにやったら、テストサーバーでは、オレオレ証明書（ワイルドカード対応＝*.ドメイン名）でSSLができるようになりました。
本番サーバー（さくらVPS）でやったら、https://でページは表示されるけど、ディレクトリが別々になっているVirtaulHostのトップページが表示されず、ドキュメントルートのトップページが表示されてしまった。
httpd.conf、vhost.conf、ssl.confあたりの設定をいじっているけど直らない＞＜
どうすれば直るでしょうか？アドバイスよろしくお願いします。
285 ：282：2013/05/18(土) 18:22:02.46 ID:???.net: 環境は、CentOS5.9＋Apache2.2.3＋OpenSSL1.0.1です。

<VirtualHost *:443>
ServerName domain.com:443
DocumentRoot /var/www/html/domain.com
SSLEngine on
SSLCertificateFile /etc/pki/tls/certs/server.crt
SSLCertificateKeyFile /etc/pki/tls/private/server.key
</VirtualHost>
こんなかんじですが、正常なページが表示されませんね～＞＜
286 ：282：2013/05/18(土) 18:24:01.14 ID:???.net: >>283
どんな達人でも、最初はみんな初心者だった。
だから、私はどんなにスキルアップしても、初心者に親切にしてあげようと思っています。
皆さんも私に親切にしてください。よろしくお願いします。m(__)m
287 ：DNS未登録さん：2013/05/18(土) 18:43:07.58 ID:???.net: >>285
エラーログは？
288 ：282：2013/05/18(土) 20:30:24.15 ID:???.net: >>287 アドバイスありがとうございます。エラーログを見て、改善を図り、トップページまでは見えるようになりました。
# pwd
/var/log/httpd
# ls ssl*
ssl_access_log ssl_error_log ssl_request_logPHP5.4＋CodeIgniter2を使ってるのですが、他のページが見えないのは、Rewriteルールの記述の問題みたいでした。原因の切り分けができたら、またこちらで質問させていただきます。
289 ：DNS未登録さん：2013/05/22(水) 23:48:56.76 ID:???.net: >>286
お断りします。
290 ：DNS未登録さん：2013/05/23(木) 07:03:36.89 ID:???.net: >>288
男割します。
291 ：DNS未登録さん：2013/05/23(木) 07:05:01.77 ID:???.net: というか、エラーログみないレベルのキチガイがSSLとか10桁万年早い。
292 ：ロジャー毛皮：2013/05/23(木) 14:48:13.38 ID:uzQ3v80k!.net: RapidSSLの証明書は一意に企業は低コストのSSL certificates.Theyがeコマースやセキュアログインエリアを提供するサイトの光のレベルを行うウェブサイトに適しています信頼できる、完全に機能する単一のルートを取得することができます。

ClickSSL - http://www.clickssl.com/ssl-certificates/rapidssl
293 ：282：2013/05/25(土) 14:19:19.01 ID:???.net: Nginx1.2.4＋OpenSSL1.0.0で、オレオレ証明書のSSL通信ができました。
Nginxの設定は、Apacheと比べて、超簡単でした！
Apacheのmod_rewriteは、正規表現を復習して、再チャレンジしたいと思います。
>>289-292 どうもありがとうございます。
294 ：DNS未登録さん：2013/05/30(木) 10:25:29.56 ID:???.net: example.comでwwwサーバ、メールサーバ、sshサーバを運営したいんだけど、
www有りのコモンネームで証明書を取得すれば、SANsの機能で
www有り・無し関係なくSSL通信ができるという認識であってますか？
295 ：DNS未登録さん：2013/05/30(木) 12:54:39.57 ID:fRd8fKHo.net: >>294
example.com と www.example.com の両方がSANで含まれた証明書ならね。
でも、普通は www.example.com の証明書を取得したら example.com は含まれないと考えるべき。
追加料金で両方含めれたり、逆にexample.comは最初から勝手に含まれてたりとか、認証局によって違う。
296 ：DNS未登録さん：2013/05/31(金) 07:49:15.56 ID:???.net: >>295
example.com (wwwなし)の証明書って必要？
297 ：DNS未登録さん：2013/05/31(金) 12:17:19.50 ID:???.net: ComodoのPositive SSLって安いな
ttp://www.gogetssl.com/domain-validation/

Positive SSL CNがexample.comにSANでwww.example.com
Rapid SSL CNがwww.example.comにSANでexample.com
だったはず
298 ：DNS未登録さん：2013/05/31(金) 13:31:04.18 ID:???.net: 認証局を立ててぼろもうけしたいんですが、
親にしたい認証局で何を買ってくればいいんですか？
299 ：DNS未登録さん：2013/05/31(金) 16:48:31.50 ID:ha9l9tT5.net: >>298
馬鹿なの？

マジレスすると自分の作ったCA証明書を、
各種ブラウザやアプリやOSにデフォルトでインストールしてくれるよう
全世界に対して頑張って営業すればよい。
300 ：DNS未登録さん：2013/06/02(日) 08:35:31.77 ID:???.net: (1) RapidSSLで安いサーバー証明書を1個買う
(2) 自分で中間認証局を作り、RapidSSLのサーバー証明書を割り当てる
(3) 自分で、自分用の他のサーバー証明書を量産する
ってことはできるものでしょうか？
要するに、自分で運営しているWebサイト（ドメインがいろいろある）を(1)でまかなうケチケチ作戦です（・∀・）
ttp://e-words.jp/w/E4B8ADE99693E8AA8DE8A8BCE5B180.html
ttps://www.verisign.co.jp/basic/pki/trust/index_4.html
301 ：DNS未登録さん：2013/06/02(日) 19:01:05.76 ID:???.net: できない。
あなたのサーバ用の証明書は、そのサーバ（ドメイン）でしか使えない。
中間認証局用のキーは別に存在する。

まえに中間認証局用のキーが漏れたことがあって、大量に証明書を偽装する事件があったが。
302 ：DNS未登録さん：2013/06/02(日) 19:06:03.97 ID:???.net: あった、あった、結構最近だったｗ

http://internet.watch.impress.co.jp/docs/news/20130107_580795.html
303 ：DNS未登録さん：2013/06/03(月) 07:50:44.66 ID:???.net: >>300
証明書には「その証明書で他の証明書を発行していいか」
(中間証明書になってもいいか)というフラグがあり、
通常の証明書ではそれがfalseになっているので、無理。

具体的にはX509v3 Basic Constraints: CAの値。
もちろんそれも証明書の署名範囲内なので、無理矢理書き換えれば無効な証明書になる。
304 ：DNS未登録さん：2013/06/04(火) 09:57:43.60 ID:???.net: >>301-303 参考になりました。どうもありがとうございます。
中間証明書というのがないと、自分で公的な中間認証局を設置できないんですね＞＜

→自分で中間認証局を作りたい場合、中間証明書ってのは、販売されているものなのでしょうか？（聞いたことないです）
普通の用途とは違って、特別なかんじがするから、販売されていたとしても、条件が厳しい・値段が高そうですね？
305 ：DNS未登録さん：2013/06/04(火) 10:50:28.97 ID:???.net: リセラーで調べたら
306 ：DNS未登録さん：2013/06/04(火) 11:39:58.91 ID:UyEJo1f2.net: >>304

いまいち理解してないようだが、認証局作るだけならopenssl使って誰も普通に作れるよ。
で、自分で作った認証局でいくらでも証明書の発行するのも自由。

自分のブラウザに「自分の認証局の証明書をインストール」さえしておけば、
自分で発行した証明書もブラウザは正規の証明書として認識するようになる。
そういう意味では発行し放題。

でもその行為（＝得体のしれない認証局の証明書をインストール）は、
要は自分のブラウザのセキュリティを下げてるってことなのよ。
だって、google や yahoo の偽物証明書が返ってきたとしてもエラーにならないから
フィッシングやウィルスの仕込みだってやりたい放題になる。
それが自分にインストール済みの認証局が発行したものだったらブラウザは信じちゃうわけだからね。

なのでテスト目的で自分で作った自分が信頼する認証局を使って自分でやる分には問題ないし。
自分がホンの欠片も疑いを持たないような全幅の信頼を置いている友人が立てた認証局を信頼するのであればやってもよいことになる。
まぁ、俺なら例え友人や家族だろうと素人が立てた認証局なんてインストールしたくないわ。

要は認証局とか証明書っていうのは、信頼の連鎖なわけよ。
俺が信頼すると決めた奴の言うことは俺も100%信頼する、という、さ。

公的な認証局になるってことは他人のセキュリティを支配可能になるということとほぼ同じ。
だから国とか特別な公的な団体とか色んな人間に日々監査され信頼された大企業とか、
特別に「信頼出来る組織」が運用してる認証局しか基本使えないし、使わないの。
OSやブラウザにデフォルトでインストールされている認証局ってのはそういう存在なの。

これだけ説明すれば個人が公的な認証局になるなんてことはほぼ不可能だと分かるだろ？
307 ：DNS未登録さん：2013/06/04(火) 11:47:16.27 ID:???.net: 丁寧すぎワロタｗ
308 ：DNS未登録さん：2013/06/04(火) 11:56:02.85 ID:UyEJo1f2.net: ついでに言うと、
だったらその「公的に認められた認証局」の中に悪人がいたらどうすんの？
って思うかもしれないね。

うん、勿論大変なことになる。
でももし一度でもそんなことをしたらその認証局は誰にも信頼されなくなるよね。
その瞬間から、世界中から「お前はもう信頼しねー」と思われ「あいつは信頼してはいけない」と言われる存在になってしまう。

現実にはそれによって何が起こるかというと、
全世界的にブラックリストな認証局として記録・公開される。
マトモなOSやブラウザなら、デフォルトインストールの認証局リストからそいつを排除するし。
その認証局の証明書をアンインストールするパッチを配布する。

そうなったらもうその認証局は実質的に存在できなくなるわけだ。
発行した証明書はブラウザで警告が表示されて誰も信じてくれない。
当然、証明書の発行を商売にしてたとしたら誰も買わなくなるから潰れる。
世界中から訴訟も起こされるかもしれない。

認証局自身も過ちを犯してしまったらそうなることが分かってるから、
全力で自分の組織を健全に保とうと努力するし、内部からも外部からも監査を徹底することになる。
それは監査を受けることはその組織にとって自分を守ることでもあるわけだ。

そういう目に見えない力が働くことによって、世の中の信頼の連鎖が今日も保たれてるのだよ。

分かった？
309 ：DNS未登録さん：2013/06/04(火) 12:44:01.25 ID:???.net: 外部から不正侵入されて偽証明書を発行してしまったオランダの認証局は
信用を失ってその後破産しました。
310 ：DNS未登録さん：2013/06/06(木) 07:57:39.92 ID:???.net: >>297
へー安いね。
遊びで立てたサーバーでも入れてもいいかなって値段
311 ：DNS未登録さん：2013/06/06(木) 14:56:54.83 ID:???.net: >>308
認証局に悪人がいたわけじゃない(マヌケがいたかどうかは別)けど、
VeriSignがMicrosoftの証明書発行でやらかしたことはみんな忘れてあげてるよねｗ
http://internet.watch.impress.co.jp/www/article/2001/0323/verims.htm
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20010323/1/

DigiNotar(>>309)・Comodo(>>92)・TURKTRUST(>>301-302)がやらかしたことは忘れられてない気がする。

どの程度の監査がされてるか興味がある人はWebTrust for CAとか
Baseline RequirementとかRFC3647とかを調べたらいいと思うんだ

あと>>298にマジレスを追加するなら親にしたい認証局(の運営会社の)株を
50%越のレベルで超大量に買うのもいいと思う。ぼろもうけできるかは別として。
312 ：DNS未登録さん：2013/09/09(月) 17:51:34.81 ID:???.net: アメリカの機関がインターネット上の暗号を解読していたってニュースが
流れていたけど、SSLっていうのは大丈夫なのですか？
313 ：DNS未登録さん：2013/09/10(火) 00:29:48.19 ID:???.net: 続報がないことにはさっぱりわかんね
314 ：DNS未登録さん：2013/09/10(火) 17:49:37.63 ID:PmXSonc+.net: ググれば簡単にわかるだろ
315 ：DNS未登録さん：2013/09/12(木) 04:03:54.25 ID:???.net: 盗聴しやすいようにSSLは使わないサービスとかあったなｗ
316 ：DNS未登録さん：2013/09/17(火) 05:12:48.04 ID:???.net: あれってサーバ側に平文の状態のデータをキャプチャするための
ソフトを入れるのかな(´・ω・｀)
317 ：DNS未登録さん：2013/09/24(火) 14:31:08.48 ID:???.net: 別にアメリカの機関じゃなくても
多くの大学やら、ハッカー集団がコンテストで破ってんじゃん。
結局イタチごっこなんだよ。

強度の高い暗号→処理速度向上で簡単に破られる→より強度の高い暗号化→

ハッキングに使うPCの処理能力も上がってるけど、
暗号化するためのPCも処理能力上がってるから
時代にあった暗号化技術を採用していけばいいって話だよ。
318 ：DNS未登録さん：2013/10/10(木) 12:05:07.85 ID:k6Dv0dDa.net ?2BP(3900): COMODO JAPANっていう所がスパムメール送りつけてくるんだけど
仮にもセキュリティ企業がスパムって頭おかしいんじゃないの？
勝手に送りつけてきて配信停止はこちらじゃねーよ
319 ：DNS未登録さん：2013/10/16(水) 19:47:32.70 ID:4TTt9RYV.net: evintl-ocsp.verisign.com
ocsp.verisign.com
crl.usertrust.com
www.msftncsi.com
320 ：DNS未登録さん：2013/11/13(水) 17:24:27.05 ID:???.net: ＳＳＬ証明発行頼んだが、対応が遅すぎて呆れた。
メールしても全然、回答こないし・・・。
321 ：DNS未登録さん：2013/11/16(土) 17:11:51.93 ID:???.net: >>320
国内？海外？
322 ：DNS未登録さん：2013/11/17(日) 00:58:09.20 ID:???.net: >>321
海外＞＜；
323 ：DNS未登録さん：2013/11/17(日) 00:59:23.90 ID:???.net: DUNS (International)ってどこで取れるんですか？そもそも国内から取れるものですか？
ＳＳＬ証明出すのに必要らしいんです
324 ：DNS未登録さん：2013/11/17(日) 03:52:48.07 ID:???.net: >>323
すでに番号が付与されてるかどうかまず検索してみたら？
http://www.tsr-net.co.jp/service/database/overseas/get_a_duns_number.html#a_01
325 ：DNS未登録さん：2013/11/18(月) 07:05:08.86 ID:???.net: >>322
金返してもらえば？
代理店で金払ったあとは発行する会社とのやりとりになるから
通常問題ないと思うんだけどなあ。
326 ：DNS未登録さん：2013/11/21(木) 00:16:59.80 ID:???.net: 代理店経由なんですが・・・何故か直接シマンテックとやり取りしてるんですよ。
代理店に頼んだ意味がないですよね。
327 ：DNS未登録さん：2013/11/21(木) 09:32:34.74 ID:???.net: >>326
それが普通
代理店は売るだけだから、
どの代理店から買ってもその後は均一のサービスを受けられる。
328 ：DNS未登録さん：2013/11/28(木) 05:17:07.17 ID:???.net: 代理店を通さずに、直接、結局やりました・・・。
値段がえらく安かったので驚きです。
代理店って結構、マージン取るんですね。
329 ：DNS未登録さん：2013/11/28(木) 05:20:35.86 ID:???.net: >>328
それなんか騙されてないか？
普通は直接申し込んだほうが高い。
330 ：DNS未登録さん：2013/11/28(木) 14:53:58.87 ID:???.net: http://www.namecheap.com/で申し込んだけどえらい安かったですよ
騙されたのかな・・・・。
331 ：DNS未登録さん：2013/11/28(木) 15:29:14.21 ID:???.net: >>330
namecheapも代理店だけど。
値段は普通じゃない？
332 ：DNS未登録さん：2013/11/28(木) 15:45:42.58 ID:???.net: >>328は代理店への登録代行業者とかを使ったのかなｗ

169 KB

新着レスの表示

掲示板に戻る全部前100 次100 最新50

read.cgi ver.24052200