- 締切済み
SSL通信と認証局について
すいません。トピック違いかもしれませんが、ご質問させて頂きます。 初歩的な質問なのかもしれませんが、(すいません・・それすら分からず)よく、SSL通信を行うにはどこかの認証局で証明書を発行しないといけないと伺っております。 例えば、ある画面にて値を埋め込み、POSTメソッドにて特定のURLに送信します。これを、Aの画面からBの画面へ遷移すると考えてください。 Bの画面(POSTメソッドの値を受け取る方)には既に、ある認証局からの証明書があり、SSL通信しております。(Bの画面のURLは、https:// になります) その際に、もしAの画面にも証明書を発行しSSL通信の画面にした場合(画面AのURLも、https//: )にした場合、認証局が違えば、通信できなくなったりするのでしょうか。 素人的な考えで、bit数は合わせないといけないのかなと思うのですが・・・。 また、日本でどれくらいの数の認証局があるのかが分かるページなんてご存知の方いらっしゃいませんでしょうか。 質問ばかりですいません。 どなたか、よろしくお願いします。
- TSUYOOSY
- お礼率60% (6/10)
- ネットワーク
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- jjon-com
- ベストアンサー率61% (1599/2592)
サーバ証明書は,個々の画面(Webページ)に対してではなく,ドメイン名に対して発行されます。ご質問を読むかぎり,画面A画面Bともに同一ドメイン上のURLのように思えたのですが。であるなら発行してもらうサーバ証明書は1つです。 徹底比較 SSLサーバ証明書の「値段」と「品質」(2006/06) http://nmag.jp/contents/servercertificate/index.html http://nmag.jp/contents/servercertificate/index04_pop01.html など読んでいただくと,代表的なルート証明書の系統が把握できるように思います。その上で,一番メジャーな証明書を使いたい,携帯電話にも対応したい,とにかく格安がいい,などニーズに応じて認証サービス会社を選ぶことになるでしょうか。
関連するQ&A
- 認証局が発行するデジタル証明書の意義は?
SSL通信を実現するために多くのサイトで認証局のデジタル証明書を使用しています。これを取得するためにはお金を払って認証局から証明書を発行してもらわなくてはならないようですが、認証局が発行する証明書はお金を払ってまで取得する価値はあるのですか?自己書名の証明書より大きい意義を見出せません。
- ベストアンサー
- ネットワーク
- プライベート認証局について
個人または法人・組織が構築するプライベート認証局について、ご教示ください。 ①認証局を1つ構築し、この認証局で全ての証明書(ルート証明書・中間証明書・サーバ証明書)を発行。 ②ルート認証局、中間認証局と認証局を複数構築し、ルート認証局がルート証明書を発行。中間認証局が中間証明書・サーバ証明書を発行。 上記の①の場合もあるし、②の場合もある、ということでよろしいでしょうか。 ※①と②の記載で誤りがありましたら、ご指摘をお願いいたします。
- 締切済み
- その他(インターネット接続・通信)
- SSLが有効なページ
SSLが有効なページ SSLを使ってサイトを作製しようとしています。 初歩的な質問なのですが、非SSLのページ http://www.domein.co.jp/a.htmlにフォームがあって、 https://www.domein.co.jp/b.phpへPOSTする場合はSSL通信ではないと考えていいのでしょうか? SSL通信にするにはhttps://www.domein.co.jp/a.htmlとしなければならないのでしょうか? あるいは別のドメイン https://www.domein2.co.jp/a.htmlから https://www.domein.co.jp/b.phpへPOSTすることは可能でしょうか? 可能だとしたらこれはSSL通信でしょうか?
- ベストアンサー
- ネットワーク
- Windows2003Server独自認証局(独自CA)の設定方法
Windows2003Serverで独自認証局(独自CA)を設定する方法がわかりません。参考サイトでも何でも結構です。教えてください。 目的は、べりサインなどに証明書を発行してもらうのではなく、独自でSSL通信を行う方法をご存知の方がいらっしゃいましたら教えていただけませんでしょうか。 ヨロシクお願いいたします。
- ベストアンサー
- ネットワーク
- HTTPS(SSL)の仕組みとセキュリティについて
SSLの仕組みと,そのセキュリティについての質問です. 現在,HTTPSで利用するSSLの仕組みについて勉強をしています. しかしながら, 自身がSSLの仕組みについて正しく理解できているか分かりません. また,どうしても理解ができない点が何個かあり,質問させて頂く次第になりました. (様々な書籍やwebを拝見したのですが,いづれも腑に落ちませんでした...) そのため,まず大まかに私が理解しているHTTP上のSSLの仕組みを書き,最後に質問を書かせて頂こうかと思います. 長くなりますが宜しくお願い致します. ■主な登場人物 ・認証局 CA秘密鍵 CA証明書(公開鍵?) CA証明書発行要求 ・証明書 KEYファイル(秘密鍵/公開鍵) CSRファイル/申請書(issuer側の情報/公開鍵) CRTファイル/サーバー証明書(CSRを認証局の秘密鍵で捻ったモノ) ■証明書の発行 1-1.証明書を発行したい者がCSRファイルという申請書を作成し,認証局に送ります. →CSRには登録情報(issuer)やサーバー(証明書を発行したい者)の公開鍵などが含まれます. 1-2.認証局はCSRファイルが適切であれば,署名(subject)し,認証局の秘密鍵でCSRの中の公開鍵のみを暗号化します. 1-3.これがCRTファイルになり,証明書を発行したい者に送り返されます. この時,サーバー(証明書を発行した者)は認証局によって署名されたCRTファイルを持っています. 次にこれを利用したHTTPS通信について書きます. ■HTTPS通信 2-1.クライアントがサーバーに通信要請をします. 2-2.サーバーは証明書(CRT)をクライアントに送ります. 2-3.クライアントは送られてきたCRTが信頼できるか認証局の証明書(公開鍵)を使って検証します. →CRTに埋め込まれているサーバーの公開鍵は認証局の秘密鍵によって暗号化されているので,これを認証局の公開鍵で複合化します. →認証局の公開鍵はルート証明書といい,事前にブラウザに組み込まれているものとします. 2-4.クライアントは共通鍵を発行します. 2-5.クライアントはCSRから複合化したサーバーの公開鍵を用い,自身で発行した共通鍵を暗号化してサーバーに送ります 2-6.サーバーは受け取った暗号データを自身の持つ秘密鍵で複合化し,共通鍵を取得します. 2-7.後はこの共通鍵でデータを暗号化し通信します, ■質問 1.オレオレ証明書+認証局の場合でも正常に通信ができるのはなぜか 私の理解だと2-3で,クライアントが認証局の公開鍵を用い,サーバーの証明書からサーバーの公開鍵を複合化し,それを元に共通鍵を暗号化しています. これはクライアントが認証局のルート証明書(公開鍵)を保有しているから複合化できるはずです. オレオレ証明書の場合は,認証局の公開鍵がクライアントにインストールされていません. そのため,サーバーの公開鍵を複合化できず,共通鍵の生成に失敗し,通信できなくなると思います. しかしながら,ブラウザは「署名が不明な接続先です」とのエラーを出すだけで,通信(接続)ができてしまいます. なぜでしょうか. 2.IssuerとSubjectは暗号化されていないのか 私の理解だと1-2の認証局では,サーバーの公開鍵しか暗号化されていません. ということはIssuerとSubjectは暗号化されていないということでしょうか. また,それはなぜでしょうか. 3.IssuerとSubjectは偽装できるか opensshを用いることで認証局を構築することができます. この時に,Subjectの設定をベリサインの認証局と全く同じようにし, 証明書も,ベリサインの認証局を使っているサイトのIssuerと全く同じようにした場合, SubjectとIssuerが全く同じ証明書ができると思います. この場合は,本物の証明書と同様の証明書を複製できてしまうのでしょうか. できないとは思いますが,それはなぜでしょうか. 4.証明書の偽装は可能か ブラウザから証明書の情報を見ることができます.もちろんbyteデータのraw certificateも見ることができます. この情報を丸々コピーし,全く異なるサーバーに証明書として読みこませて通信した場合は, 署名されてしまうのでしょうか. されないとは思いますが,それはなぜでしょうか. (例えば,URL=CN情報が異なっているから確認できるとか..?それならCN情報だけ書き換えてしまえばいい?) 5.証明書の検証をするにはどうしたらよいか 証明書を検証をするには,その証明書を発行した認証局の公開鍵を利用するしかないのでしょうか. 例えば,サーバー証明書(CRT)のフィンガープリントsha1データを事前に保持さえしていれば, サーバーに証明書を示された際にCRTのフィンガープリントを比較すれば,特定のサーバーかどうか検証できるか・・? 6.MITMについて MITM攻撃により,証明書が途中で書きかわることが考えられます. この場合は,書き換わった証明書をどのように特定すればいいのでしょうか. 例えば,認証局のルート証明書がないなどが考えられますが, 仮に,Rapid SSLなどで署名されている証明書でMITM攻撃がされた場合どうなるでしょうか? この場合は,Issuerなどを比較するしかないように考えられます. しかし,Issuerはcsr申請の際にうまいこと,書き換えることができてしまいます. そう考えると,どのような対策ができるでしょうか フィンガープリントなどで比較することになるのでしょうか, フィンガープリントは偽装することができないのでしょうか. 以上となります. 様々な質問を書いてしまい,申し訳ありません 説明不足で乱文だとは思いますが, 分かる範囲でお答え頂けませんでしょうか. 宜しくお願い致します.
- ベストアンサー
- ネットワーク
- 認証局の信頼性
いろいろ教えていただいて、安全な通信について調べはじめました。 S/MIMEは安全なのかと思って調べていたら、次のようなものを見つけました。 S/MIME は、メールの送受信者におけるエンドツーエンドのセキュリティを 提供するものであるが、送受信者が利用可能なPKI 環境の存在が活用の前提と なる。送信者はS/MIME を利用するために、信頼できる電子認証局から発行さ れた電子証明書を、事前に所有している必要がある。S/MIME の信頼性は証明 書を発行した認証局の信頼性に依存しており、不特定多数との信頼性の高いメ ール送受信を行ないたい場合に向いている。 認証局の信頼性はどのようにして調べたらよいのでしょうか? 認証局の信頼度の格付け、AAA,Aaa,BBBとかはどこかで調べられるのでしょうか? この信頼性は、実際に通信しているときにどこかに表示されるのでしょうか? 調べ始めたばかりで、へんな質問かもしれませんが、よろしくお願いします。
- ベストアンサー
- ネットワーク
- OpenSSLは無料でSSLを構築できる?
SSLの勉強をしているのですが、通常認証局にSSLの証明書をもらうのは、年間10万円程度かかるとあったのですが、OpenSSLで自分で証明書を発行するのは(書いていないということは)無料で出来るのでしょうか?
- ベストアンサー
- その他(インターネット・Webサービス)
- 認証局を使わない場合のSSLについて
自己著明入り証明書を使用した場合、アクセスした時に下記のように表示されます。 この Web サイトのセキュリティ証明書には問題があります。 この Web サイトで提示されたセキュリティ証明書は、別の Web サイトのアドレス用に発行されたものです。 セキュリティ証明書の問題によって、詐欺や、お使いのコンピューターからサーバーに送信される情報を盗み取る意図が示唆されている場合があります。 このページを閉じて、この Web サイトの閲覧を続行しないことを推奨します。 ここをクリックしてこの Web ページを閉じる。 このサイトの閲覧を続行する (推奨されません)。 きちんとVeriSignやグローバルサイン等の認証局を利用している場合は、こういうものが出ないという認証ですが(正しいですか?) 自己著明入り証明書を作成して利用した場合、認証局を利用した時のようにこういう表示を、初回から出さずにアクセスすることは可能ですか? よろしくお願いします
- ベストアンサー
- ネットワーク
お礼
回答ありがとうございます! さっそく、手脳してありますURLを拝見させて頂きます。 ただ、私の書き方が悪かったのですが、画面AとBはまったく別のドメインになります。