- ベストアンサー
期限の切れた証明書について
SSLのサーバ証明書について、信頼されて無い証明機関によって認証されている場合 クライアント(大抵ブラウザになると思います。)は証明機関の電子署名が正当なものか 検証出来ない為、こういった運用をしているサイトは脆弱性のあるサイトであると 言えると思います。 ここで質問ですが、 信頼された証明機関によって認証されているが、有効期限が切れているサイトは 脆弱性があるサイトであると言えるのでしょうか? 有効期限が切れていようと信頼された証明機関によって認証はされている訳ですし、 ブラウザでも ・信頼されて無い証明機関によって認証されている場合 ・信頼されている証明機関によって認証されているが有効期限切れの場合 は別箇のエラーが表示される為ユーザはこの二つを区別出来ます。 とあるサイトが有効期限切れのまま運用されているのですが、脆弱性が無い様なら 放置しても良いかなと思いますし、脆弱性が有る様なら担当者に連絡するべきかなと 思っています。 高木浩光さんの日記など見てみたんですが、ちょっと判断がつきませんでしたので ご教示頂ければと思います。
- haru1234
- お礼率60% (12/20)
- ネットワーク
- 回答数6
- ありがとう数2
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
>信頼された証明機関によって認証されているが、有効期限が切れているサイトは 脆弱性があるサイトであると言えるのでしょうか? 現在の一般的な脆弱性の定義からすれば,「言えない」でしょうね. >とあるサイトが有効期限切れのまま運用されているのですが、脆弱性が無い様なら 放置しても良いかなと思いますし、 「良いかな」という考えが利用者にとっても「常識」となっているかどうか,また特定の利用者のみ利用するサーバの場合,サーバアクセス前にその利用者が,サーバ管理者と十分な信頼の関係にあるのかどうか,ですよね? その考え方がそのサイトを利用する人たちにとって,「常識」となっている,とみなしてよいのかどうか,サイトを利用する人たちが,その「事情」を熟知しているかどうか,だと思います. その考え方ががそのサイトを利用する人たちにとって,「常識」となっている,とみなしてよいのならば「問題なし」という判断も管理者としてアリ,でしょう. コンピュータの問題というより,「何が常識であるのか」という問題ですね.
その他の回答 (5)
- 123admin
- ベストアンサー率52% (1163/2214)
>信頼された証明機関によって認証されているが、有効期限が切れているサイトは 脆弱性があるサイトであると言えるのでしょうか? 簡単に言えばメンテがされていないサイトと言う事です。 脆弱性があるサイトかは通常では解析できません。 SSLのサーバ証明書を更新する事を怠る様なサイトは信用するに価しないと言うのは言いすぎですか? オレオレ証明書もアクセスするユーザーに対して証明書を購入する予算がないからオレオレでいくけれど信用してくれる方だけ利用してくださいと断りがあるなら個人的には問題ないと思います。 問題はオレオレ証明の癖にあたかも正規な処置のように認証させようとする姿勢ですね。 銀行系のサイトがこの形態だとオンラインバンキングなど危なくて出来ないよね。 最初の一歩から自分だけに都合の良い事を正当化する姿勢ですからね。 それは脆弱性とは又違う問題だと思います。 ちゅうかそれ以前が正しいのか?。
- ency
- ベストアンサー率39% (93/238)
ANo3 ency です。 > しかしながら、逆に言えば去年は > 暗号アルゴリズムはSHA256を採用しているので今年はお金は払わなくて良いという > 判断はサーバ管理者としては脆弱性のみに焦点を絞るのならアリだと思って良いのでしょうか? う~ん。。。 サーバ管理者として、私が指摘した脆弱性のみに焦点を絞るのならアリなのかもしれませんけど…そのようなサーバを私は使用したいとは思いませんね。 より安全な暗号化アルゴリズムを使用しているから大丈夫だろう…というよりもすでに周知されたアルゴリズムであれば結果は同じことだと思うからです。 # 少なくとも、SSL を使用しているサーバ管理者であればそう考えるべきでしょうね。 SSL を使用すると決めた時点で、証明書発行のコストは避けられないものです。 というよりも、定期的にそのようなコストがかかることを見越して SSL を使用することを決定しているはずです。 あとは、それを必要経費としてサーバ管理者の人が上司を説得できるかどうか…結局そこにかかってくるんでしょうけどね。 というのが、あくまで私個人の意見です。 えらそうなことを書いてきましたが、サーバ管理者でもない私(!)がどんなことを言ったところであまり説得力がないかもしれません。 というわけで、参考意見とさせてもらいました。
- ency
- ベストアンサー率39% (93/238)
ちょっと割り込み気味ですみません。。。 まず、暗号は莫大な計算時間と計算能力をつかえば、いずれ解読されるものだというのは、おわかりだと思います。 現在使用されている暗号アルゴリズムであれば、公開鍵から秘密鍵を推定することは、確率的に事実上不可能と言われていますが、それも「現在」という制約がついた話です。 今後マシンスペックがあがっていけば、推定可能になるかもしれません。 公開鍵から秘密鍵が推定できてしまえば、そのサーバ証明書を発行しているサーバとの間の通信は、ANo1 さんが書いている 3つの危険性のすべてにさらされることになります。 このような状況を避けるためにも、サーバ証明書には有効期限を設定しておき、常に新しい暗号化アルゴリズムを使用した公開鍵・秘密鍵を使用できるようにしているんです。 言い換えれば、暗号解読の時間を与えないために、サーバ証明書に有効期限を設定しておいて、期限満了でサーバの公開鍵・秘密鍵を更新させるように強制することで、ANo1 さんが書いている 3つの危険性を軽減するようにしているんです。 このようなことを考えると、たとえば 1ヶ月前期限が切れたサーバ証明書であれば、まぁ、良いかなぁ~と思えなくもないですが、たとえば 10年前に期限が切れたサーバ証明書は、とても信用できないことがわかると思います。 ご参考まで。。。
補足
仰る通り現在安全と言われている暗号アルゴリズムが、将来は安全で無いという のは最もだと思います。 事実SSLv2は現在では使ってはいけないと言われている訳ですし、MD5も段々怪しくなってきています。 しかしながら、逆に言えば去年は 暗号アルゴリズムはSHA256を採用しているので今年はお金は払わなくて良いという 判断はサーバ管理者としては脆弱性のみに焦点を絞るのならアリだと思って良いのでしょうか? (ブラウザで有効期限切れのエラーが出ますが、これは利便性の話になるかと思いますので ここでは言及しません。)
- a-saitoh
- ベストアンサー率30% (524/1722)
SSL証明書の有効期限が切れている場合、 ドメインの契約が切れてたあとに違う組織がドメインを取得し、そのドメインの旧所有者のなまえをかたってWWWサイトを運用している可能性を排除できない、のでは?
補足
その仮定が成り立つ事はありません。 証明機関はCSRとペアの秘密鍵を持っているwebサイト を証明するのです。 秘密鍵はドメインの旧所有者のみ知っている情報なので名前を語る事は出来ません。
- DIooggooID
- ベストアンサー率27% (1730/6405)
ご質問にある「脆弱性」の有無と、信頼されて無い証明機関による証明書とは、直接的な関係はありません。 SSLでは、主に以下のような危険性を軽減しています。 ・サーバ認証により、Webサーバのなりすましの防止 ・通信データの暗号化により、盗聴された際の情報の秘匿 ・通信内容の完全性チェックにより、通信データの改ざんの検知 これらと、世間一般に言われている「サイトの脆弱性」とは、分けて考えられたほうが良いと思います。
補足
言葉足らずで申し訳ありません。 今回私が問題にしているのはDIooggooIDさんが提示された中の 以下の2点です。 ・サーバ認証により、Webサーバのなりすましの防止 ・通信内容の完全性チェックにより、通信データの改ざんの検知 「脆弱性」の定義が明確で無かった様なので改めて補足させて頂きます。 信頼されて無い証明機関によって認証されている場合 ・通信データの暗号化により、盗聴された際の情報の秘匿 は達成されますが ・サーバ認証により、Webサーバのなりすましの防止 ・通信内容の完全性チェックにより、通信データの改ざんの検知 は達成されないはずです。 なぜならインターネット網で平文でやり取りしたものは改ざんの可能性があると いう大前提があってSSLという技術が出来たにも関わらず 証明機関の証明書の改ざんの可能性がクリアされていないからです。 この、man-in-the-middle可能という状態を指して脆弱性が有ると私は言っています。 質問内容に戻りますが、 信頼されている証明機関によって認証されているが有効期限切れの場合 以下の3点全てクリアされると思っています。 ・サーバ認証により、Webサーバのなりすましの防止 ・通信データの暗号化により、盗聴された際の情報の秘匿 ・通信内容の完全性チェックにより、通信データの改ざんの検知 したがって、man-in-the-middleは不可能なはずです。 = 脆弱性が無い。 しかしながら、それなら証明機関に毎年お金を払うのはあまり意味が無いわけで、 ブルートフォースの成功率が上がるので毎年Webサーバの秘密鍵を変更したほうが良いといった程度の 理由ならわざわざベリサイン等の証明機関に更新費用を払わなくても良い様な気もしましたので 今回質問させて頂きました。
関連するQ&A
- 証明書の有効期限が切れてしまいました。
Win2000サーバーでSSL接続でウェブ公開をしています。 IISオプションの認証機関をインストールしています。 4月はじめで証明書の有効期限が切れてしまいました。 証明書を再発行すればよいのだと思い、 ネット上で手順を調べました。 IISから規定のWEBサイト→プロパティ→ディレクトリセキュリティ→サーバー証明書で 証明書要求を作成し、 ブラウザからサーバー名/certsrvを開いて 認証機関に登録をしようとしたのですが・・・。 サーバー名/certsrvを開くと「ページが見つかりません」エラーになってしまうのです。 マシンをcertsrvで全検索かけると、WINNT\system32にcertsrv.exeというのがあるのを確認できました。 (関係ないのかな?) 管理者は違う人間で、最初どういう設定だったかは分かりません。 証明書を作り直すには、どうしたらよいのでしょうか。 どなたかご教授ください・・・。
- ベストアンサー
- ネットワーク
- 証明書の期限切れについて。
私の利用しているプロバイダーのトップ画面を開いたり、 そこで使っているブログの管理画面などを開く際には なんの問題もなく開けるのですが、 メールボックスに入る時だけ 「証明書の有効期限が切れています」とエラーが出て アドレスバーも赤く表示されてしまいます。 証明書の表示をクリックすると有効期限は2008/11/05からとあるので 期限切れとも違うようなのですが、ヘルプを見ると 「このエラーは、現在の日付が証明書の有効期間より前または後のときに発生します。Web サイトは、証明書を最新の状態にするために、証明機関で証明書を更新する必要があります。有効期限の切れた証明書は、セキュリティの問題を発生させる可能性があります。証明書を発行した証明機関は、証明書の有効期限が切れた後は、証明書が不正に使用されないことを保証していません。」 ・・・と書いてあります。 日付が近いからエラーが出ているのでしょうか? 今まで証明書というものの存在すら知らないまま なんの問題もなく使えてたメールなのに 急にこんな表示が出るようになって メールも途中で受信されるかも、と他にも書いてあるので 使えなくて困ってます。 パソコンの知識がなさすぎて申し訳ないのですが、 どうしたらこのエラーを消すことが出来るでしょうか? 教えていただけると助かります。 宜しくお願いします。
- ベストアンサー
- その他(インターネット・Webサービス)
- 証明書が期限切れか有効ではないと出ます。
2~3日前から突然サイトを開くと下記のようなページが出ます。 『この Web サイトのセキュリティ証明書には問題があります。 この Web ページで提示されたセキュリティ証明書は、有効期限が切れているかまだ有効ではありません。 セキュリティ証明書の問題によって、詐欺や、お使いのコンピュータからサーバーに送信される情報を盗み取る意図が示唆されている場合があります。 このページを閉じて、この Web サイトの閲覧を続行しないことを推奨します。 ここをクリックしてこの Web ページを閉じる。 このサイトの閲覧を続行する (推奨されません)。 』 なるページとならないページがあり、大体はマイページ等にログインしなければならないページです。(ヤフオク、OKwave、楽天、アマゾンなど) 開いてくれないサイトもあって困ってます。 証明書が期限切れか有効ではないと出ます。 ブラウザはIE7、XP(sp2)です。 PCの日時、時刻は合っています。 どうしたら普通にもどりますか?? 宜しくお願いします。
- ベストアンサー
- Windows XP
- 信頼されたルート証明機関の期限切れ
WINDOWSxpを使用しています。インターネットオプションのコンテンツ、証明書のタブの信頼されたルート証明機関の証明書の有効期限が切れていますが、この証明書の意味はあるのでしょうか。切れてもそのままでインターネットする時に差し支えないでしょうか? 有効期限切れの証明書は、 GTE CyberTrust Root.cer と NO LIABILITY ACCE.cer です。 二つともファイルの種類がセキュリティ証明書と書いているので心配です。
- ベストアンサー
- Windows XP
- サーバー証明書の有効期限の設定方法について
はじめまして。 現在Windows2003Serverで独自CAを使い、SSL通信を行っております。 しかし、このSSL通信に使用するサーバー証明書の有効期限が1年に設定されてしまいます。 有効期限を設定できるような設定を探したのですが見つかりませんでした。 有効期限の設定方法(5年位にしたい)について知っている方、設定方法について教えてください。 尚、現在のSSL設定方法は以下の通りです。 ・独自CAサーバー:Windows2003Server ・Webサーバー:Windows2003Server 1.WebサーバーのIISにてサーバー証明書(AAA.TXT)を作成 2.独自CAサーバーからWebページにてAAA.TXTを使いサーバー証明書を発行 3.独自CAサーバーの認証機関にて保留中の証明書を発行 4.独自CAサーバーのWebページにて証明書のダウンロード(AAA.CER) 5.WebサーバーのIISにてサーバー証明書(AAA.CER)をインストール
- ベストアンサー
- ネットワーク
- 認証局によるサイト証明書発行について
会社でホームページを運用しておりますが、このたび、ブラウザを通じて個人情報を入力してもらう必要があるため、SSLによる認証が必要となりました。 サーバーはApacheで、mod_sslとOpenSSLをインストールしたのですが、 認証局への申込や、コストなどがわかりません。 電子商取引は行わないので安い証明書でよいのですが、どれほどのコストがかかるでしょうか? また、どの認証局に頼むのがよいでしょうか? 日にちはどれぐらいかかるのでしょうか? 少しでもおわかりになるかたがいらっしゃれば、教えていただきますようお願いいたします。
- ベストアンサー
- ネットワーク
- 証明書の発行について教えてください
Apache-SSLを導入して「証明書」の発行を考えています。 社内のシステムを社員限定で社外からもアクセス可能に することを考えています。 この場合、「自己署名証明書」でいいのでしょうか? 「公的認証証明書」(ベリサインなど)を手に入れる必要はありますか? (必要性というと御幣がありますが・・・) EC等の場合、公的認証機関を利用しましょう。 というフレーズをよく見かけるのですが・・・
- ベストアンサー
- ネットワーク
- 証明書の署名の置き換えについて
SonicWALLのDPI-SSLは、恐らく中間者攻撃 (man-in-the-middle attack、MITM)の技術を利用しているため、HTTPSサーバーとの通信をSonicWALLが中間者となってHTTPSの通信のパケットを見てウイルスに感染していないかをDPIエンジンでチェックしていると思われます。 SonicWALLの説明として"オリジナル証明書の署名承認局を置き換えます。"がありますが、第三者証明機関(ベリサイン等)から署名されている証明書の署名を書き換えることができるととらえることができます。 理解できない点として、第三者証明機関が署名した証明書の認証局の情報を書き換えられるという説明が分かりません。 ---------------------------------------------------------------------------------------------------------------------- 証明書再署名の認可 この証明書は、認可局の証明書がファイアウォールに信頼されている場合に限り、 オリジナル証明書の署名承認局を置き換えます。 認可局が信頼されていない場合、証明書は自己署名されます。 証明書のエラーを防ぐためには、DPI-SSL に保護されている機器によって信頼された 証明書を指定してください。 http://tz210j.demo.sonicwall.com/sslSpyConfigure.html ---------------------------------------------------------------------------------------------------------------------- お手数をおかけしますが、この点についてご存知でしたらご教示頂けますようお願い致します。 <確認させていただきたい点> 1.証明書は01DCDC・・・のようになっていますが、その証明書を署名している認証局部分がどこに入っているかわかるのでしょうか。 2.証明書を署名している認証局の部分が分かる場合、証明書にある拇印の部分がそうでしょうか。もしそうだとした場合、証明書の 01DCDC・・・の中にそのまま拇印が入っているということでしょうか。
- ベストアンサー
- その他([技術者向] コンピューター)
- クライアント証明書(Windows Server)
Windows Server 2008 R2 Standardを使って、インターネット上にサイトを構築しました。 サイト全体にセキュリティを施す必要があり、SSL証明書を購入し運営ドメインに設置しました。 そのドメイン配下で特にセキュリティを高める必要がある場所があったので、仮想ディレクトリ作り、特定の者だけアクセスさせるようにしようとしているところです。 IP制限やVPNは使えないという条件で何か方法を探しており、クライアント証明書というものの存在を知りました。 クライアントのブラウザに証明書をインストールしているものだけアクセスできるので、できればこれを使いたいのですが、そもそも、その証明書はどこで取得できるのでしょうか? 契約したSSL証明書の会社のホームページの製品にクライアント証明書について書かれていませんので、いろいろネットで調べましたが、知識不足の為いまいちよく分かりません。 今のサイトはドメイン認証タイプのSSLを設置してますが、そもそも、そのサイトの仮想ディレクトリに対してクライアント証明書での認証を行わせること自体可能なのでしょうか?
- ベストアンサー
- ネットワーク
お礼
皆さん失礼しました、質問したまま放置してしまいました。 どうも私の質問の仕方がまずかった様です。 技術的見解をお聞きしたかったのですが、モラルや倫理、 エンドユーザの話も混ぜてしまったせいで意図がぼやけてしまいましたね。 今回は一旦締めさせて頂きます。ありがとうございました。