SSLそのものとベリサイン等の認証局の関係

宜しくお願い致します。 ここ最近、SSLについて触れる機会が多く色々と調べていたらちょっと気付いたのですが、SSLとい...

anmochi さんからの 回答

  • 2005/03/07 21:28
  • 回答No.1
anmochi

ベストアンサー率 65% (1332/2045)

うむ、良い所に気づいた。

君の言うとおり、SSL通信そのものはOpenSSL+Apache+mod_sslで何の問題も無く行う事ができる。IISの場合も別途Windows Serverの証明機関を用意すればWindows 2000 Professionalでもできるし。

「じゃあVeriSignに払ってるあの金は何!?」という質問にずばり答えましょう。
「(SSL通信の直前に)ブラウザに警告が出てこないようにするために払うお金です」

SSL(https)の場合、基本的な構成では、クライアント(=ブラウザ)がWebサーバを信用する事が不可欠だ。とりあえずhttpsを使えるようにしてブラウザからつなげたら警告が出るだろう。あれはブラウザが自動で信用できないのでユーザに尋ねているわけだ。

ここでVeriSignの登場だ。
1.ブラウザはVeriSignを信用している
2.VeriSignは君のWebサーバを証明する

3.ブラウザは君のWebサーバを信用する
という三段論法で君のWebサーバは信用される。するとブラウザは自分自身の判断で信用できるので警告が出ないわけだ。
ここで2番目にお金がかかるわけだな。君の想像通り、VeriSignに証明されようとされまいと君のWebサーバの暗号化力に違いが出るわけではない。

ちなみに1番目でブラウザはVeriSignをどうやって信用しているかというと、これが「ルート証明書」というもので、WindowsならたまにWindowsUpdateでも「ルート証明書のアップデート」というものが出てくるので更新されていっている様が分かるだろう。

 第三者証明機関を利用するしないに明確な用途の違いがある訳ではないのだが、ありていに言うとブラウザに信用される事に金を払う価値があるかないかだな。
 企業サイトでWebアプリ構築しといて警告が出てきたらイメージ悪いしそれは金を払うだろうね。対して趣味の自宅サーバで警告出てくるのはまぁ事前(トップページなど)にアナウンスして証明はしてもらう必要は無い事も多いだろう。

 もちろん社内LAN内でイントラネットを構築するような場合は、LinuxやWindows Serverなどで自前で証明機関を立てればそいつが発行するルート証明書をクライアントにインストールして警告なしのSSL通信ができる。
お礼コメント
nikuq

お礼率 75% (477/631)

ありがとうございます!
なるほどー。すごーく分かりやすいご説明、ありがとうございますm(__)m
なんだか、そう聞くとお金払うのが腹立たしくなります(-_-メ)弱みに付け込まれているような気がして・・・(>_<)
しかし、あのポップアップ警告はほんとにうざいので、不特定多数の人が見るようなサイトだと、即刻サイトから抜けちゃいますね。。。まあ、そう考えると信用料というか、サービス料みたいなものと考えて諦めるしかないのでしょうか・・・(-_-;)
ありがとうございましたーm(__)m
投稿日時:2005/03/08 17:46
この回答にこう思った!同じようなことあった!感想や体験を書こう!
この回答にはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。
関連するQ&A
  • Apache2.0でのSSL設定 ネットワーク

    JSPで作られたページをSSL対応したいと思います。 但し、全く知識が無いので教えて頂きたく。 環境:Apache2.0とTomcat5.0.28 ベリサインを利用しようと思うのですが、 ・既存のJSPプログラムやHTMLファイルにどの程度の改変を  必要とするのでしょうか?。 ・サーバー側の設定のみで対応出来るのでしょうか?。 どうぞ宜しくお願い致します。...

  • [【Apache】apachectl stop,,sslstartだと... Linux系OS

    CentOS4.4、Apache/2.0.63 mod_ssl/2.0.63 でApacheを運用しています。 なお、レンタルサーバのVPSでやってます。 なお、SSLの認証局は、ベリサインなどではなく、いわゆる「オレオレ認証」というか、自分のサーバを認証局にしています で、いつも、apacheを再起動するとき、 [root@www ~]$ apachectl stop [root@www ~]$ apachectl startssl Apache/2.0.63 mod_ssl/2.0.63 (Pass Phrase Dialog) Some of your private key files are encrypted for security reasons. In order to read them you have to provide the pass phrases. Server example.com:443 (RSA) Enter pass phrase: OK: Pass Phrase Dialog successful. [root@www ~]$ というように、「pass phrase」をきかれます。 これは、これでOKというか、こうあるべきなのですが・・・・ 「apachectl restart」 とやってみたら、 [root@www ~]$ apachectl restart [root@www ~]$ というように、「pass phrase」をきかれずに、再起動してしまいました。で、SSLも有効になっています。 これだとセキュリテイ的にまずいので、この状態を回避したいのですが、どうすればいいでしょうか? よろしくお願いいたします。...

  • verisignのSSL証明書はどこの国で購入するのが一番安いでしょう... その他(インターネット・Webサービス)

    ちなみにverisign.co.jp(日本)のセキュアサーバIDは、ssl-secure.jpというサイトで定価\85050のところ58800円で購入できるようです。 私は昨年4月にverisign.com(アメリカ)でセキュアサーバIDを購入しました。値段は覚えてませんが、85050円よりはずいぶん安かったと思います。現在は2年で$695、3年で$995と、やはり日本のベリサインよりかなり安いです。ヨーロッパや韓国なら、もっと安いかな、と思い、質問する事にしました。...

  • 利便性の高い認証局は? ネットワーク

    サイトでSSL(https)を利用したサーバ認証 を行いたいと考えています。 自分はベリサインしか利用したことがないので 他の認証局のコストやサポートに詳しくないです。 自分がベリサインを利用したのは 単に一番メジャーであったことと 1度利用すると、手続きなどが覚えているので また利用してしまう、ということでした。 しかし利便性やコストを再検討したいと考え、 今回、他の認証局も検討中です。 以前、ベリサインを利用して現在、他の認証局 を利用して満足されている方、アドバイスを いただけると助かります。 ちなみに、私がベリサインを利用したときは 発行までの手続きが煩雑で、時間がやたらと長かったのが不満でした。 しばらくした後に発行間での時間が短い ”エクスプレスサービス” なるものが出て、さらにそのことでお金を取るのかと驚いた覚えがあります。...

  • Apache起動時に秘密鍵パスフレーズを省略したい Linux系OS

    ベリサインで取得していただいた、秘密鍵をインストール後、アパッチの再起動を行うと、SSL起動時に毎回パスワードが聞かれます。 http://support.6web.ne.jp/archives/15 上記サイトを確認したところ、既に作成されたキーファイルよりパスフレーズをとり、別名で作成されたファイルをhttpd.confで指定するとのことですが、再度、CSRをベリサインに送付し、証明書を取得し直す必要はないのでしょうか。 また、このサイトに記述されている #Enter pass phrase for ./2011key.pem について、openssl文にて既にパスフレーズなしの鍵が作成されていると思いますが、この文を実行すると、パスフレーズなしで作成されたファイルにパスフレーズが格納される認識で正しいでしょうか。 また、他にもパスワードを記述したスクリプトファイルを用意する方法なども存在するらいしいのですが、一般的はどのような方法がよいかも教えていただけたら幸いです。 よろしくお願いいたします。...

ページ先頭へ