• ベストアンサー

SSL等の、セキュリティの仕組みについて

よく個人情報送信フォームなんかで、 ”このフォームで入力されたデータは暗号化されています” とかありますが、暗号化自体は、 httpsと、プトコロルを指定すればできてるわけですよね? 問題はでは、より安全な通信をするために なぜベリサイン等のSSLセキュリティ会社と契約しなければ ならないのでしょうか? これは、第三者に、この”通信は安全だよ”と お墨付きをもらうということなのでしょうか? また、ブラウザは何故 ”ベリサインという会社の証明は安全”と 判断するのでしょうか? これは、セキュリティ会社各社がブラウザに組み込まれているということでしょうか?

質問者が選んだベストアンサー

  • ベストアンサー
  • jjon-com
  • ベストアンサー率61% (1599/2592)
回答No.3

>ブラウザは何故”ベリサインという会社の証明は安全” >と判断するのでしょうか? セキュリティ会社各社が >ブラウザに組み込まれているということでしょうか? そういうことです。 http://www.e-tax.nta.go.jp/shoumeisho/kakunin2.html http://www.nttdocomo.co.jp/service/imode/make/content/ssl/spec/#p05 >なぜベリサイン等のSSLセキュリティ会社と契約 >しなければならないのでしょうか? >これは、第三者に、この”通信は安全だよ”と >お墨付きをもらうということなのでしょうか? そういうことです。 オープンソースの無料プログラムなどを利用して自分のPCを認証局サーバにすることは誰でも可能です。その認証局が発行した電子証明書を利用して暗号化通信をおこなうことも誰でも可能です。 問題は,気心の知れた仲間内の暗号化通信ならいざ知らず,不特定多数の使っているWebブラウザPCやブラウザ携帯電話はそんな見知らぬ独自認証局が発行した電子証明書なぞ信頼していないということです。

yuzuru0024
質問者

お礼

回答ありがとうございます。 だいたい、思ってるどうりの仕組みみたいですね。 やはりセキュリティ会社と契約するときは なるべく様々なブラウザに証明書が搭載されている セキュリティ会社がよさそうでね。

その他の回答 (2)

  • 774danger
  • ベストアンサー率53% (1010/1877)
回答No.2

「オレオレ証明書」で検索していろいろ調べてみればベリサインのような会社の存在意義が理解できると思います > これは、セキュリティ会社各社がブラウザに組み込まれているということでしょうか? こちらのほうは「ルート証明書」で検索すればわかるはず

yuzuru0024
質問者

お礼

回答ありがとうございます。 検索してみます。

  • SAYKA
  • ベストアンサー率34% (944/2776)
回答No.1

ブラウザはSSL用の通信経路で接続するだけで基本は"http"で指定するのと挙動はそんなに変わらないよ。 (「そんなに」の部分が重要と言えば重要だけど…) http://www.google.com/search?lr=lang_ja&q=ssl%E3%81%AE%E4%BB%95%E7%B5%84%E3%81%BF

yuzuru0024
質問者

お礼

回答ありがとうございます。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • 共用SSLとは。

    ネットショップを始めるにあたり、レンタルサーバーの利用を検討しているものです。 問合せや発注フォームからの通信にSSLの導入が必要だと思うのですが、レンタルサーバー会社によっては  共用SSL 月数百円~  ベリサイン 月数千円~ となっているところが多いです。 この共用SSLって、お客様に情報入力して送信してもらったとき、ポップアップなどで警告が出たりするやつなのでしょうか? 安全性に問題が・・とか。 暗号化しているという点では同じなのでしょうが、お客様への信頼性という点で躊躇しています。 共用SSLのデメリットを教えてください。

  • SSLについて

    会社のホームページ制作担当をしていますが、昨今個人情報保護法などのからみから、CGIフォームでのデータの送信にSSLでの暗号化をして欲しいという意見がでました。 現在使用しているホスティングサーバーはSSLに対応していないらしく、サーバーの乗換えを考えています。 いろいろ調べているのですが、共有SSLという安い方式と、5~6万円くらい金額がかかる、日本ベリサインなどのSSLサーバ証明書を取得する場合とがあるのですが、どう違うのでしょうか。 できれば安く上げたいのですが共有SSLだと何か問題が発生したりするのでしょうか。

  • HTTPS(SSL)の仕組みとセキュリティについて

    SSLの仕組みと,そのセキュリティについての質問です. 現在,HTTPSで利用するSSLの仕組みについて勉強をしています. しかしながら, 自身がSSLの仕組みについて正しく理解できているか分かりません. また,どうしても理解ができない点が何個かあり,質問させて頂く次第になりました. (様々な書籍やwebを拝見したのですが,いづれも腑に落ちませんでした...) そのため,まず大まかに私が理解しているHTTP上のSSLの仕組みを書き,最後に質問を書かせて頂こうかと思います. 長くなりますが宜しくお願い致します. ■主な登場人物 ・認証局  CA秘密鍵  CA証明書(公開鍵?)  CA証明書発行要求  ・証明書  KEYファイル(秘密鍵/公開鍵)  CSRファイル/申請書(issuer側の情報/公開鍵)  CRTファイル/サーバー証明書(CSRを認証局の秘密鍵で捻ったモノ) ■証明書の発行 1-1.証明書を発行したい者がCSRファイルという申請書を作成し,認証局に送ります.    →CSRには登録情報(issuer)やサーバー(証明書を発行したい者)の公開鍵などが含まれます. 1-2.認証局はCSRファイルが適切であれば,署名(subject)し,認証局の秘密鍵でCSRの中の公開鍵のみを暗号化します. 1-3.これがCRTファイルになり,証明書を発行したい者に送り返されます. この時,サーバー(証明書を発行した者)は認証局によって署名されたCRTファイルを持っています. 次にこれを利用したHTTPS通信について書きます. ■HTTPS通信 2-1.クライアントがサーバーに通信要請をします. 2-2.サーバーは証明書(CRT)をクライアントに送ります. 2-3.クライアントは送られてきたCRTが信頼できるか認証局の証明書(公開鍵)を使って検証します.    →CRTに埋め込まれているサーバーの公開鍵は認証局の秘密鍵によって暗号化されているので,これを認証局の公開鍵で複合化します.    →認証局の公開鍵はルート証明書といい,事前にブラウザに組み込まれているものとします. 2-4.クライアントは共通鍵を発行します. 2-5.クライアントはCSRから複合化したサーバーの公開鍵を用い,自身で発行した共通鍵を暗号化してサーバーに送ります 2-6.サーバーは受け取った暗号データを自身の持つ秘密鍵で複合化し,共通鍵を取得します. 2-7.後はこの共通鍵でデータを暗号化し通信します, ■質問 1.オレオレ証明書+認証局の場合でも正常に通信ができるのはなぜか 私の理解だと2-3で,クライアントが認証局の公開鍵を用い,サーバーの証明書からサーバーの公開鍵を複合化し,それを元に共通鍵を暗号化しています. これはクライアントが認証局のルート証明書(公開鍵)を保有しているから複合化できるはずです. オレオレ証明書の場合は,認証局の公開鍵がクライアントにインストールされていません. そのため,サーバーの公開鍵を複合化できず,共通鍵の生成に失敗し,通信できなくなると思います. しかしながら,ブラウザは「署名が不明な接続先です」とのエラーを出すだけで,通信(接続)ができてしまいます. なぜでしょうか. 2.IssuerとSubjectは暗号化されていないのか 私の理解だと1-2の認証局では,サーバーの公開鍵しか暗号化されていません. ということはIssuerとSubjectは暗号化されていないということでしょうか. また,それはなぜでしょうか. 3.IssuerとSubjectは偽装できるか opensshを用いることで認証局を構築することができます. この時に,Subjectの設定をベリサインの認証局と全く同じようにし, 証明書も,ベリサインの認証局を使っているサイトのIssuerと全く同じようにした場合, SubjectとIssuerが全く同じ証明書ができると思います. この場合は,本物の証明書と同様の証明書を複製できてしまうのでしょうか. できないとは思いますが,それはなぜでしょうか. 4.証明書の偽装は可能か ブラウザから証明書の情報を見ることができます.もちろんbyteデータのraw certificateも見ることができます. この情報を丸々コピーし,全く異なるサーバーに証明書として読みこませて通信した場合は, 署名されてしまうのでしょうか. されないとは思いますが,それはなぜでしょうか. (例えば,URL=CN情報が異なっているから確認できるとか..?それならCN情報だけ書き換えてしまえばいい?) 5.証明書の検証をするにはどうしたらよいか 証明書を検証をするには,その証明書を発行した認証局の公開鍵を利用するしかないのでしょうか. 例えば,サーバー証明書(CRT)のフィンガープリントsha1データを事前に保持さえしていれば, サーバーに証明書を示された際にCRTのフィンガープリントを比較すれば,特定のサーバーかどうか検証できるか・・? 6.MITMについて MITM攻撃により,証明書が途中で書きかわることが考えられます. この場合は,書き換わった証明書をどのように特定すればいいのでしょうか. 例えば,認証局のルート証明書がないなどが考えられますが, 仮に,Rapid SSLなどで署名されている証明書でMITM攻撃がされた場合どうなるでしょうか? この場合は,Issuerなどを比較するしかないように考えられます. しかし,Issuerはcsr申請の際にうまいこと,書き換えることができてしまいます. そう考えると,どのような対策ができるでしょうか フィンガープリントなどで比較することになるのでしょうか, フィンガープリントは偽装することができないのでしょうか. 以上となります. 様々な質問を書いてしまい,申し訳ありません 説明不足で乱文だとは思いますが, 分かる範囲でお答え頂けませんでしょうか. 宜しくお願い致します.

  • httpとhttpsとSSLの違い

    http は通信内容が平文でネットワークを流れる。 https は通信内容がWEBサーバとPCのブラウザ間で暗号化される。ブラウザのキャッシュが効かない。 SSL は通信内容がWEBサーバとPCのブラウザ間でSSL証明書をもって暗号化できる。httpsに追加して使える(2重に暗号化?)。httpには使えない。通信を要求するサーバが信頼できることを証明する。 と理解していますが、たぶんどれか間違っていると思います。 上記3個の違いを簡潔に教えてください。 よろしくお願いします。

  • SSLについて デメリット

    SSLについて デメリット WebシステムのSSLはサーバーからクライアントのパソコン間の通信でデータを暗号化復号化して通信時のデータの安全性を図るものだと理解しています。 httpsで始まるURLの場合、全てのデータが暗号化復号化されていると理解しています。 これで正しいでしょうか。 では、安全性からしたら全てSSLにしたほうがよいと思います。そうなるとhttpで始まるURLはなくなるはずです。現実には多くのサイトがhttpで始っています。httpsにするメリットは安全性と思いますが、デメリットがあるのでしょうか。あればデメリットをお教えください。 また、「SSLサーバ証明書」はそのサイトが本物のサイトですという証明書であって、証明書がなくてもSSLにすることはできるという理解でよろしいでしょうか。

  • SSLの導入

    今更ですが、SSLを導入したいと考えております。 導入部としては、PHPなどで問合せフォームを作成し、 その部分をSSL送信できるようにしたいと考えております。 法人用ウェブサイトです。個人情報を保守するために 行います。 今使っているサーバーにも無償でついておりますが、 やはりどこかのセキュリティ会社のバナーがついている方が 安心な印象を与えるのではないかと思います。 さてそこで、SSLを導入しようと思って見渡せば、 無数に存在し、ベリサインやGEOトラスト?などなど。 しかも、検索すれば、ベリサインやGEOトラストのSSLが 半額で!といった売り文句で色々なサイトが でています。正直どこで申し込めばよいか…非常に悩んでいます。 安いにこしたことはないですが、 安心できるSSLを導入したいのです。 どこかしら、お勧めをお教えください。 お勧めの理由なども教えていただければ なお助かります。よろしくお願いします。

  • SSL業者それぞれの特徴を教えてください

    サイトでSSLサーバ証明書を組み込み、送信を暗号化させようと考えております。ネット販売の注文の送信と問い合わせに組み入れたいのです。 しかし、業者を調べるとあれよあれよといくつも見つかってきましたが、どこが良いのか差がわからない状態です。販売サイトを見ても結構バラバラのようですし。大手はベリサインが多いですが、価格が高いので高い理由が妥当ならばいいのですが、理由もわからずむやみに高いものにもしたくありません。また、逆にジオトラストの存在証明がないタイプのようなものもどうかと思いますし。存在証明してくれなかったら暗号化かかっていても信用されないのか、とも思って・・・。 現時点で以下の業者をリストアップしてみました。それぞれどんな特徴や良い点をもったところかご教授くださいませんでしょうか? また、「この業者の方がいいよ」というのがあればそれでも構いません、ご教授ください。 宜しくお願い致します。 [1] ベリサイン http://www.verisign.co.jp/ [2] ソーテ http://www.jp.thawte.com/ [3] コモド ( ここはライブドアのSSLサービスを提携して出来るようにしてあるようですが、ライブドアのSSL利用するよりここをダイレクトに利用する方が安くて得なんでしょうか?? ) http://www.comodojapan.com/ [4] ジオトラスト http://www.geotrust.co.jp/ [5] エントラスト http://www.entrust.co.jp/ [6] ビートラステッド http://www.betrusted.co.jp/ [7] セコム http://www.secomtrust.net/

  • SSLの信頼性について

    ネット販売の代金決済にSSLによる暗号化通信があります。以前に知人がクレジットカードによるSSL決済でURLのプロトコルhttpsの確認、右下タスクトレイ上に鍵マーク確認、カギマークから発行元証明書の確認もしたようです。しかし結果して悪用されたそうです。その話を聞いて私はネット上のSSLを信頼していません。下記についてご助言を頂きたいと思います。 (1)ブラウザで公開鍵で暗号化し、送信したデータが    通信経路上で秘密鍵が盗取されてデータが復元さ   れ、情報盗取されることは可能でしょうか。 (2)証明書の発行元の偽装は簡単に行えるのでしょう    か。 (3)発行元が本人(法人)であることは何で確認すれば    安全でしょうか。以上お願いいたします。

  • SSL(暗号化通信)設定について

    教えて下さい。 FEDORA CORE4で自宅サーバを構築しているものですが、 Apache+mod_sslで暗号化通信をしたいのですが、設定の仕方が よくわかりません。 それからベリサインなどに証明書を申請するお金もないため、 証明書まで自分で作成して、暗号化通信を可能にしたいのです。 設定方法のコマンドラインでの設定例やおすすめサイトなど 教えてください。 よろしくお願いします。

  • 非SSLページからSSLページへの遷移時の暗号化

    SSLについて人によって意見がまちまちな問題が 浮上しており、困っております。 ぜひお詳しい方のお知恵をお借りできたらと思い投稿させていただきました。 非SSLページ(入力フォーム)→SSLページ(確認ページ) という単純な遷移です。 非SSLページは静的なhtmlファイルで 個人情報を入れてpostでsubmitするフォームになっています。 このとき、私の認識では、個人情報は暗号化されると 思っていました。 しかし、入力フォームもSSLページでなければ暗号化 されないという意見とそうでない意見が交錯しています。 遷移先がSSLであれば、証明書等チェックが入って 最終的にフォームの値含め、通信データは暗号化されて送信 されると思っていますが間違っているでしょうか? ちなみに個人情報を入れるページは心理的にはhttps であったほうがいいということは間違い無いと思います。 技術的な見地でお願いします。 よろしくお願いしますm(_ _)m

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する