- ベストアンサー
プライベートCA証明書をクライアントにインストールした場合の問題点
Lchan0211の回答
No.2です。 > 具体的にどのような仕組みでそのようなことになるのでしょうか。 > > 不正なCA証明書をインストールすると、例えば、その証明書で署名を > されたJavaアプリケーションが、正当だと判断されて、画面に警告が > 出ずにローカルファイルにアクセスできるようになることがあるの > でしょうか。 不正なCA証明書を利用してPCを乗っ取るのではありません。 不正なCA証明書をインストールしてしまうことによる直接の影響は、 身元の保証されていないWebサイトにアクセスしても警告が出ない 可能性があるというだけです。 ただ、身元の保証されていないWebサイトは、フィッシングサイトの 可能性があり、フィッシングサイトの可能性があるということは、 PCが乗っ取られる可能性があるという3段論法です。 (だから、たかが警告が重要なのです。) フィッシングサイトは、Flashやpdfの脆弱性を利用して、 そのサイトを閲覧しただけでPCにウィルスを送り込んで感染させる ことができます。これをWeb感染型ウィルスと言います。 先日猛威をふるった、ガンブラーの攻撃方法を解説しているサイトで Web感染型ウィルスの感染の仕組みが詳しく解説されています。 http://itpro.nikkeibp.co.jp/article/COLUMN/20090727/334548/?ST=security&P=1 を参考にしてください。 > 社内で証明書を入れるのがベストなのですが、派遣先にPCがあり、 > メディアの持ち込みも禁止されているところが多く難しい状態となっています。 この派遣先PCというのは、自社の資産ではなく、社外(派遣先)の設備ですよね? だとしたら、そのPCにプライベートCA証明書を入れてはいけません。 社外の資産に入れたらプライベートではなくなってしまいます。 (派遣先の立場からしたら、社外の勝手なCA証明書を入れられたらセキュリティ問題です。 身元の知れないソフトウェアを勝手にインストールされるのと一緒です。) 社外の設備からアクセスするのであれば、社外に対する責任がありますので、 費用をかけてきちんと正規のサーバ証明書を取得すべきです。 派遣先のPCからあなたの自社のWebサーバにアクセスする際に毎回警告を 無視させているのは、3段論法によると、あなたの会社は派遣先のPCにウィルス感染の リスクを負わせていることになります。
関連するQ&A
- クライアント証明書を必須にすると接続できない
社内のSSL環境を構築しておりますが、私の知識不足のためになかなかうまくいきません。 申し訳ありませんが、ご教授願えますでしょうか? ---テスト環境--- サーバA:www.XXXX.co.jp (Winodws Server 2008 R2 役割:IIS7.5、AD証明書サービス(スタンダート ルートCA)) サーバB:yyy.XXXX.co.jp (Winodws Server 2008 R2 役割:IIS7.5) クライアント1:IE7(WindowsXP)、IE9(Vista):クライアント証明書あり クライアント2:IE8(WindowsXP):クライアント証明書なし ---証明書--- サーバA(ルートCA認証局) |--サーバA:サーバAルートCAでサーバ証明書発行(IIS用:サイトのバインドに設定しSSLを設定(SSL設定:SSLが必須、クライアント証明書:必須)) |--サーバB:サーバAルートCAでサーバ証明書発行(IIS用:サイトのバインドに設定しSSLを設定(SSL設定:SSLが必須、クライアント証明書:必須)) |--クライアント1:サーバAルートCAでクライアント証明書発行 ---アクセス--- クライアント1→サーバAのサイト:表示/OK(正常にサイトを確認できる) クライアント2→サーバAのサイト:表示/NG(サイトを確認できない)クライアント証明書がないので正しい ※クライアント1→サーバBのサイト:表示/NG(403 13のエラーとなり接続できない)クライアント証明書はルートCAの証明があるのに接続できない クライアント2→サーバBのサイト:表示/NG(サイトを確認できない)クライアント証明書がないので正しい なぜサーバBのサイトへアクセスできないのでしょうか?ルートCAの証明書は有効となっているのですが?です。 ちなみにクライアント証明書のCRLは「http://www.XXXX.co.jp/」のcrlの場所となっています。 サーバBにAD証明書サービスをインストールし既存CAにてルートCAと利用すればよいのはわかるのですが、 インストールなしでできないものでしょうか?サーバを追加するたびにクライアント証明書を要求・発行しなくてもルートで承認している クライアントから接続できないのでしょうか? 証明書の発行、考えに問題があるのか分からないのですが、なにか回答があれば助かります。
- ベストアンサー
- ネットワーク
- TM887 クライアント証明書のインストール
TM887 クライアント証明書のインストールを実施、クライアントに証明書インストール時には、通信が出来て印字されるがPC再起動時に、通信エラーとなる件 ※OKWAVEより補足:「EPSON社製品」についての質問です。
- 締切済み
- プリンター・スキャナー
- 双方向SSL時にクライアント証明書が表示されない
現在、顧客DMZ内にあるサーバに対し、インターネット上の 特定のクライアント様からサービスを利用できるように、 双方向SSLの環境を構築しておりますが、困った事があります。 詳細は次のようになります。長文となっておりますが、何卒ご教授 よろしくお願いいたします。 【1.現象】 ブラウザからSSLを行うサーバにアクセスすると、ポップアップボックスが表示され、 クライアントのブラウザの証明書ストアにあるクライアント証明書のうちどれを 使用するかが尋ねられますが、ボックスに何も表示されません。 【2.システム構成】 (1)アプリケーションサーバ OS:Windows 2003 Server WWWサーバ:IIS 6.0 サーバ証明書:セキュア・サーバID(ベリサイン社) IIS設定: ・サーバ証明書インストール ・「セキュリティで保護されたチャネル (SSL) を要求する」にチェック ・「クライアント証明書を要求する」を選択 ブラウザ:IE 6.0 (2)CA機関(個人持ち) Win2003の証明書サービスを使用し、クライアント証明書を発行します。 ここで発行した証明書を(3)のクライアントに配布します。 (3)クライアント OS:Windows XP SP2 ブラウザ:IE 6.0 (2)において、証明書サービスから発行したクライアント証明書を クライアント機にコピーし、ダブルクリックし証明書をインストールしました。 ◆補足 ・上記(1)、(3)間でSSL通信を行います。 ・上記(1)、(2)、(3)は各々別マシンです。 ・上記(1)は社内ネットワーク上にあり、(3)はインターネット上から(1)にアクセスします。 (2)はネットワークに繋がっておらず独立しています。 ・上記(3)から(2)のアクセスにおいてクライアント証明書が表示されません。 また、試しに(1)において、(3)と同様の手順でクライアント証明書をインストールし、 (1)のブラウザを使用し(1)にアクセス(自マシンに対しhttpsアクセス)しましたが、 クライアント証明書が表示されませんでした。 【3.ご教授頂きたい事】 クライアントマシンのクライアント証明書が 表示されない原因、対処について教えてください。
- 締切済み
- ネットワーク
- ■HTTPS通信の時の証明書について。■
<構成図> 端末PC----WAN----Server(SSL,CA,WEB) <条件> 自己認証局(CA)により、https通信を検討しています。 認証方法としては、 1.サーバ証明書を利用する(URLのSection1)方法と 2.クライアント証明書を利用する(URLのSection2)があります。 <参考URL> http://park15.wakwak.com/~unixlife/practical/openssl.html ■質問1 端末PCから、Serverに通信するとき、 1.サーバ証明書の方法ですと、端末PCにサーバ証明書を入れなくても、 警告がでるが、通信はできそうですが、 2.クライアント証明書の方法も、端末PCにクライアント証明書をいれなくても、 警告がでるが、通信はできますか? ■質問2 上記の例だと、自己認証局(CA)による<条件>ですが、 外部CA認証局を利用する場合も、 1.サーバ証明書、2.クライアント証明書の方法ともに、 警告がでるが、通信はできるのでしょうか? 宜しくお願いします。
- 締切済み
- ネットワーク
- クライアントマネージャー3 インストールエラー
フレッツ光にして、無線LANルータをバッファーローのAirステーションG54からWZR-HP-300NHに変更してエアーナビゲータVer11.10からインストールしましたが、クライアントマネージャー3のインストールがエラーになります。このため、子機との接続ができません。クライアントマネージャーはタスクトレーにはクライアントマネージャーがありません。また、スタートからバッファローのクライアントマネージャーも起動アイコンがないのでできません。コンパネからアンインストールしようにもクライアントマネージャーがありません。再度インストールしても同様の結果となります。 2台のPCのうち1台は正常にインストールして問題なく正常に動作しています。機器構成は子機WLI-U2-KG54で同一です。 原因がなぜか、またリカバリーの方法をご教示いただきたくよろしくお願いいたします。
- 締切済み
- その他([技術者向] コンピューター)
- クライアントソフトのインストール先は?
PCの直結による広帯域接続ではなく、ルータ経由でサーバへのアクセスが試みられている際には、クライアントソフトウェアがインストールされているドライブ名称もが、当該ルータによって把握されているのでしょうか? それとも別のデバイスが其のドライブ名称を把握しているのでしょうか?
- ベストアンサー
- ルーター・ネットワーク機器
- 外付けHDDにインストールされた電子証明書
旧PCで使用していたXPのインストールされた内臓HDD(旧HDD)を外付けケースに接続して現在のPC(Vista)にUSB接続しています。 この旧HDDに電子証明書をいくつかインストールしていたのですが、エクスポートしていなかったため、現在のPCでは当然でしょうが利用できません。 この、旧HDDにインストールされた証明書を、現在のPCでも使用(インポート)することができるのでしょうか?またできるとすれば、どのような方法でしょうか。 ご回答よろしくお願いします。
- ベストアンサー
- その他(パソコン)
- SSLの公開鍵をCAから取得できる?
SSLの通信を確認しているのですが、 クライアントPCとサーバがSSLで通信する場合、公開鍵をサーバから クライアントPCは取得しているようですが、CAからは取得できないのでしょうか? ブラウザにルート証明書がインストールされていないCAなら、 公開鍵をCAに要求し取得するものだと思っていましたが、 そうではないのでしょうか?ググっても明確な情報がでてきませんでした。ぜひご教示宜しくお願い致します。
- 締切済み
- その他(インターネット接続・通信)
- 「このサイトのセキュリティ証明書には問題があります」??
最近ネットに接続したばかりのPCを現在使っているのですが、 「このサイトと取り交わす情報は、ほかの人から読み取られたり変更されたりすることはありません。しかし、このサイトのセキュリティ証明書には問題があります。」 という「セキュリティ警告」画面が、このサイトでログインしょうとするたびに、しつこく表示され、困っています。果てにはログインできなくなり、今現在、別のPCからこの質問を立てています。 その下に、 *セキュリティ証明書は、信頼された証明機関から発行されています *セキュリティ証明書は有効期限が切れたか、まだ有効になってません。 *このセキュリティ証明書には、表示しようとしているページの名前と一致する有効な名前があります。 続行しますか? はい・いいえ・証明書の表示 とありますが、それをいじっても改善されません。 まだ他のサイトはあまり使ってないのですが、他の時にもこの画面が出てきたような気がします。 ちなみに、PCはセキュリティ設定を行なっていません。 そのせいでしょうか? でも、このサイトのセキュリティ証明書に問題があります とはどういうことなのでしょうか。 ご教授宜しくお願いします。
- ベストアンサー
- Windows XP
- リモート接続時のクライアント側で確認すべき点
DB SQLSERVER 2005に対して 地点A PC1:リモート接続 OS:windows XP クライアントソフト:「SQL Server 2005 Management Studio」 SQLSERVER認証、接続OK 地点B PC2:リモート接続 OS:windows XP クライアントソフト:「SQL Server 2005 Management Studio」 SQLSERVER認証、接続OK 地点B PC3:リモート接続 OS:windows 7 クライアントソフト:「SQL Server 2005 Management Studio」 SQLSERVER認証、接続NG PC3で 「SQL Server 2005 Management Studio」 で接続(SQLSERVER認証)すると、下記のエラーがでます。 SQL Serverへの接続を確立しているときにネットワーク関連または インスタンス固有のエラーが発生しました.サーバーが見つからないか アクセスできません.インスタンス名が正しいこと,およびSQL Sever がリモート接続を許可するように構成されていることを確認してください. (provider: 名前付きパイプ プロバイダ,error: 40 - SQL Server への接続を開けませんでした)(Microsoft SQL Server, エラー:2) 解決策はありますか? 同サーバーの同DBにPC1、PC2、PC3からはつないでいるので、SQLSERVER側のリモート設定 等は設定はOKだと思うのですが、 クライアントの方、片っぱしから、要因をつぶしていこうとした場合何が考えられますかね。 ご提案いただけますと幸いです。 参照 http://social.msdn.microsoft.com/Forums/ja-JP/sqlserverja/thread/6c2efe94-2290-45c3-a5fe-49f679db17a9 http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=40652&forum=7
- ベストアンサー
- SQL Server
お礼
ご回答ありがとうございました。 おかげさまで、もやもやしていた部分がすっきりしました。 ご指摘の通り、正式なサーバ証明書を導入したいと思います。