- 締切済み
PKIのルートCAはどこを信頼すればいいか。
こんにちは。 PKIについて、詳しく調べたところ、ルート証明書の偽装。もしくは管理に問題のあるルート証明書(一般企業の証明書等)を入れることの問題性について理解しました。 そのため、ルートCAを入れ直したいのですが、IEのルートCAを見ると数多くの証明機関がルートCAとして登録してありました。 それ故に、どこを信頼して良いものか、検索を掛けてもよく分かりません。 有名な証明機関はお互いに証明し合ってると聞いたことがあるので、まずどこを信頼すればいいのか、教えていただけますか?
- shirousa01
- お礼率47% (71/148)
- ネットワーク
- 回答数1
- ありがとう数0
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- 日吉 龍(@VDSL)
- ベストアンサー率68% (176/258)
こんにちわ。 質問の意図がいまいちよくわかりませんが、要するにもともとIEに登録されているルートCAが 信頼できない、と言われているのでしょうか? IEに登録されているルートCAは、MicrosoftがWindowsというOSにプレインストールした状態で 配布しているものです。たしかにルートCAの証明書をどのように配布するのか、という問題は PKIを考える上で非常に重要ですが、これについてはMicrosoftを信頼するしかありません。 #自分でIE以外のブラウザをダウンロード・導入しても、結局その配布元がデフォルトで #そのブラウザに登録してあるルートCAを信頼する、ということになります。 もしIEに登録されているルートCAを消してしまうと、その後HTTPSを利用したWebサイトを 訪問するたびに、”このWebサイトの証明書を検証することができない”という警告が あがることになります。このため、事実上ルートCAを自分の手で消す、という作業は、 ある意味自分の手で自分の首を絞めているようなものです。 #インターネットに接続されていないクローズドな環境で、PKIを利用したシステム #を利用するために設置された端末に対して行うのであればこの限りではありませんが、 #そのような状況はそうそうはないでしょう。 また、仮りにここで私を含む誰かが”ここのルートCAならば信用できます”と書き込んだ 所で、それを裏付ける証拠はどこにもないのはお分かりになるかと思います。 それを承知の上であえて書くのであれば、たとえばVerisignは、世界でもっとも 信頼されている認証業者の一つであるといえるでしょう。
関連するQ&A
- PKIについて、
PKIについて、 http://www.atmarkit.co.jp/fsecurity/special/02fi … の記載で、これまでの理解と一見異なると思われる事項があります。 まず 「認証局用のソフトウェアさえ購入すれば、だれでも証明書を発行できる」とありますが、 認証局は階層型の認証構造をしているのが一般的であることとの関係は、 どう理解したらよいのでしょうか? そもそも、認証局を(一般に)誰が運営しているのか(特に、ルート証明機関)ということも気になります。 リポジトリとの関係もわかりません。。 また、「(証明書は、)信頼できる認証局が発行したことさえ確認できれば (正確には期限などの確認も必要だが)、入手経路がどうであれ、その証明書は信頼できる」とあります。 ここでいう証明書は、クライアントがデータのやりとりをしたいサーバが発行する、 認証局によって暗号化されたサーバ証明書ではなく、 当該暗号化を行っている認証局が発行する暗号化のための公開鍵であると思われますが、 その場合、当該公開鍵(3行前の「ここでいう証明書」)の発行元は、認証局から発行される(又は発行されたものをローカルに保存してある)わけで、 どこかを経由して入手するものではないと思われるのですが、いかがでしょうか? よろしくお願いします。
- ベストアンサー
- ネットワーク
- PKI(公開鍵基盤)について教えて
現在個人的に、PKI(公開鍵基盤)を勉強中です。 PKI(公開鍵基盤)のテキストを読むと、だいたいCA(Certificate Authority)は階層構造になっていて、ユーザが、取引先の電子証明書(公開鍵証明書)の正当性を近くのCAに照会に行くと、取引先の電子証明書の正当性をチェックして返答すると同時に、CAが自らの正当性を証明するために、(CAがなりすましでないことを証明するために)、順次、上位のCAに照会をかけ、最後にルートCAにたどり着くと、ルートCAは自らの秘密鍵で自己署名を行って、その自己署名で、CAになりすましがないことを最終的に担保すると書いてあります。 そのような長いトランザクションを、取引先の電子証明書の正当性をチェックする都度行っていると、時間がかかりすぎて実用に耐えないような気がします。 もしかして、実際のCAは階層構造ではなく、ほとんど我々は、ルートCAに直接照会をかけているのでしょうか。
- ベストアンサー
- ネットワーク
- 第三者認証局(ルートCA)の信頼性はどのように確保されているのか?
ブラウザに登録されているベリサイン、ジオトラストやマイクロソフトなどのルートCAは自己署名を行い自身の信頼性を保障していることはわかるのですが、電子署名に関する事業を行う場合、どこからか許可を得ているのでしょうか? 各国政府、IEEEのような国際的な機関、非営利団体などの組織で、認証に関する認可や取り決めなどが決められているのか、また、ルートCAと呼ばれる組織はいくつもありますが、すべてを統括する組織はあるのでしょうか? どなたかご教示よろしくお願いします。
- ベストアンサー
- ネットワーク
- ルート証明書はなぜ信頼できるのか・・・
タイトルの通り、なぜルート証明書は信頼できるのでしょう? 教えてください。 よろしければ以下の認証局についての質問についても教えていただけたら幸いです。 認証局って、たとえば財務省とか、そういった類の機関なのでしょうか・・・?
- 締切済み
- その他(インターネット・Webサービス)
- WindowsにおいてのSSL通信の仕組みについて
HTTPSサーバーにアクセスした場合、第三者証明機関は中間証明書とサーバー証明書が 渡すという話をしており、ほかの者に確認したら、中間証明書とサーバー証明書は クライアントに渡すことはなく、渡していたら、オレオレ詐欺みたいに偽ることが できてしまうので、CA証明書と中間証明書はOSに入っているという話をしています。 どちらが本当のことを言っているのか確認しようと思い、以下のことを行いました。 WindowsVistaを新規インストールした状態で確認したところ、IEの「信頼されたルート証明機関」 及び「中間証明機関」にベリサインなどのいくつかの証明書が入っていました。 その状態でセコムのサイトにアクセスしたら、セコムのCA証明書が「信頼されたルート証明機関」 に入っており、パス検証は問題ありませんでした。 WindowsVistaを新規インストールした状態では、セコムのCA証明書、中間証明書は入って いませんでしたので、セコムのCA証明書がセコムのサイトにアクセスした際にインストールされたのは 間違いありません。セコムの中間証明書はIEの「中間証明機関」に入っていませんでした。 この時点でCA証明書はOSに入っているという話をされている者が間違っていることが確認できました。 CA証明書にも無論 有効期限があるので、ルート証明書の更新で更新されるので初めから入っているCA証明書がずっと使われるわけではありません。 <確認を行いたい点> 1.セコムのサイトにアクセスしたら、セコムのCA証明書が「信頼されたルート証明機関」に入ったので これがどこからインストールされたか確認する方法はありますでしょうか。 パケットキャプチャを取得することになると思いますが、どの点に着眼すれば、それが確認できますでしょうか。 2.IEにはセコムの中間証明書は入っていないにもかかわらず、セコムのサイトにアクセスしたらパス検証は問題ありませんでした。パス検証に問題がないということは中間証明書及びサーバー証明書がHTTPSサーバー側から提示されているか、渡されているになると思いますが、どのような方法を行えば確認することができますでしょうか。 パケットキャプチャを取得することになると思いますが、どの点に着眼すれば、それが確認できますでしょうか。
- ベストアンサー
- ネットワーク
- 社内でCA局構築したが・・・
よろしくお願いします。 社内でCA局(RHL8.0+OpenSSL)を構築しました。 社内のクライアントは、WindowsXPで、ActiveDirectoryで移動プロファイルを利用しています。 ローカルのAdministratorでCA局の証明書をルート証明機関へインポートしました。 他のユーザでマシンへログインしたところ、 CAの証明書がルート証明機関へ入っていませんでした。 CAの証明書は各ユーザが行わなければいけないもの なのでしょうか? どのように行えば、インポートを行ったユーザ以外でも、 証明書を利用できるでしょうか? ご教示よろしくお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
- 信頼されたルート証明機関の期限切れ
WINDOWSxpを使用しています。インターネットオプションのコンテンツ、証明書のタブの信頼されたルート証明機関の証明書の有効期限が切れていますが、この証明書の意味はあるのでしょうか。切れてもそのままでインターネットする時に差し支えないでしょうか? 有効期限切れの証明書は、 GTE CyberTrust Root.cer と NO LIABILITY ACCE.cer です。 二つともファイルの種類がセキュリティ証明書と書いているので心配です。
- ベストアンサー
- Windows XP
- SSLで独自CAを設置した場合
IEでブラウジングしていると、ときどき「このセキュリティ証明書は 問題があります」や「このセキュリティ証明書は信頼できる会社から 発行されていません。続行しますか?」などという表示がでます。 今後、自前のサーバをSSLにしたいのですが、ユーザを不安にさせる ので上記のような表示がでないようにしたいと思っています。 独自CAを自前で設置すれば解決しますでしょうか? SSLの動作についてまだ理解していなく、どうかお教えください。
- ベストアンサー
- Linux系OS
- CAさん
私の将来の夢はCAになることです。 現在大学1年で春から2年になります。 そこで、色々なホームページを 見てみたところ、必要なのが、 TOEIC 600点以上 英会話 時事やニュースや一般常識 適切な日本語 礼儀 などでした。 私の現状は、体力はあるので問題 ないのですが、 1、視力が心配なので、 コンタクトでも大丈夫なのかと言う事 2.上記の勉強の仕方 TOEIC(現在のスコア440)、一般常識、適切な日本語、英会話、礼儀など。 3.上記の勉強以外にCAの知識や勉強は 必要なのか?どれくらい? 4.そして、CA学校に通わなくても英語などが出来ればそのまま就職できるか?です! CAになるための勉強は、企業に入ってから学んで行くのですか??? 5.CAになれなかった場合、 CA以外の企業に入るために 有利な取っておいて損はない資格は? 5つのことにお答え頂けたら幸いです。 よろしくお願いします! ひとつでもいいので回答よろしくお願いします!
- 締切済み
- 就職・就活
- applicationCAは標準でバンドルされてる?
最初に環境の説明を、OSはXPで、ブラウザはIE6です。 証明書の信頼されたルート証明機関のapplicationCAは電子政府推進のため、ウインドウズアップデートの時に配布されるようになったと聞いています。 もし、今パソコンを新規購入したら、applicationCAは既に登録されているのでしょうか? それとも自分で組み込むか、次回のアップデートまで待たなくてはいけないのでしょうか。 また、次回アップデートを待てば、その際に登録されるのでしょうか? よろしくお願いします。
- 締切済み
- ブラウザ
補足
補足いたします。 ブラウザが指定したルートCAが信頼できないわけでなく、これまでの使用において信頼できないルートCAを追加していないかが不安です。 それ故に、一度ルートCAをブラウザ標準のルートCAに戻したいと思っています。 そのための方法を探しているのです。