- ベストアンサー
SSLそのものとベリサイン等の認証局の関係
suzuiの回答
- suzui
- ベストアンサー率67% (199/297)
SSLと証明書について考えるときに、暗号化と認証という言葉が出てきますが、これは別の概念なので、区別して考えてください。意外とこれができていない人が多いので・・・ 暗号化は盗聴を防ぐためのもので、認証は、改ざん・成りすまし(およびその結果としての盗聴)・否認を防ぐためのものです。 暗号化なしで認証だけを行うことはありえますが(本人確認さえできればよく情報は秘密でもなんでもない場合)、認証なしで暗号化だけを行う行為はインターネット上のデータ交換においては無意味です。(だれだかわからない相手から秘密の情報を受け取っても仕方がない) SSLで使うサーバIDは、認証と暗号化の両方に使われ、不可欠な要素です。 それから、No.1さんのコメントについて補足というか、考慮が足りないと思われるのでコメントすると、 「第三者証明機関を利用するしないに明確な用途の違いがある訳ではないのだが、ありていに言うとブラウザに信用される事に金を払う価値があるかないかだな。」 「もちろん社内LAN内でイントラネットを構築するような場合は、LinuxやWindows Serverなどで自前で証明機関を立てればそいつが発行するルート証明書をクライアントにインストールして警告なしのSSL通信ができる。」 これは嘘ではありませんが、リスクの考慮が不足していると思います。その点はNo.2さんも明確にされていません。 「オレオレ証明書」を使うリスクについては、以下のページを参考にされてください。 無料でオレオレ証明書を使ったはいいが、あなたの管理が杜撰なせいでサーバIDが盗まれて、他人に損害を与えた場合は告訴される可能性があります。 社内で使った場合でも、管理が杜撰なせいで従業員や顧客の個人情報が洩れたらやはり告訴される可能性があります。 有償のサーバIDは、信頼されたいから使うというよりは、リスクを軽減させるために使うのです。 http://takagi-hiromitsu.jp/diary/20050123.html http://takagi-hiromitsu.jp/diary/20050205.html
noname#14035
関連するQ&A
- SSLはどのページからスタートさせるか?
ウェブサイトの暗号化技術SSLについての質問です。 ウェブサイトなどで、SSLを導入する場合、どのページからSSLのアドレス(httpsから始まるやつですね)にしたほうがいいのか、教えて下さい。 私の感覚としては、フォームを送る際に暗号化されていればいい、と思うので、例えば、IDとパスワードを入れるフォームがあるログインページでは、まだhttpでよくて、そのフォームが送る先からがhttpsなのかな、、と。 けれど、ほとんどのネット上のサービスで、ログインページからアドレスがhttpsになっているのを見ます。(このOKWaveでもログイン画面でもうhttpsになっていますよね。) 実際、ログインフォームの画面もhttpsにしておかないと、問題があるのでしょうか? 以上、よろしくお願いします。
- ベストアンサー
- その他(プログラミング・開発)
- FirefoxでSSL
Firefox3.0.8を使っています。 例えば、Yahoo等に自分のIDでログインする際に、SSLページに移り、そこで自分のIDとパスを入力しますが、FirefoxだとこのSSLページにアクセスできません。 IE7も使っていますが、IEだとSSLページが開きます。 Firefoxオプションの詳細の中の暗号化タブを見ると「SSL3.0を使用する」と「TLS1.0を使用する」にチェックが入っています。 どうすれば良いでしょうか? よろしくお願いします。
- ベストアンサー
- ブラウザ
- 非SSLページからSSLページへの遷移時の暗号化
SSLについて人によって意見がまちまちな問題が 浮上しており、困っております。 ぜひお詳しい方のお知恵をお借りできたらと思い投稿させていただきました。 非SSLページ(入力フォーム)→SSLページ(確認ページ) という単純な遷移です。 非SSLページは静的なhtmlファイルで 個人情報を入れてpostでsubmitするフォームになっています。 このとき、私の認識では、個人情報は暗号化されると 思っていました。 しかし、入力フォームもSSLページでなければ暗号化 されないという意見とそうでない意見が交錯しています。 遷移先がSSLであれば、証明書等チェックが入って 最終的にフォームの値含め、通信データは暗号化されて送信 されると思っていますが間違っているでしょうか? ちなみに個人情報を入れるページは心理的にはhttps であったほうがいいということは間違い無いと思います。 技術的な見地でお願いします。 よろしくお願いしますm(_ _)m
- 締切済み
- ネットワーク
- SSLは本当に安全ですか?
ある番組を見て思ったのですが、日々技術は進歩し、以前は安全だったが今は安全ではないというものがたくさんあるようです。では、現在多く使われているSSLについてですが、VPNなどにも使われていますが、過去に解読されたことはあるのでしょうか?あったら大変なことだとは思いますが。 現在SSLより安全な暗号化あるのでしょうか。 SSLとSETは、どちらが信頼できるのでしょうか。 一つでもご存知の方おられましたら、教えていただけますでしょうか。 宜しくお願いします。
- ベストアンサー
- ネットワーク
- Apacheのユーザ認証について
Apache1.3.*でBASIC認証をしようと考えているのですが、 2点わからない点があるので、わかる方教えてください。 (1)BASIC認証で入力するパスワードを暗号化するには? →認証をかけたいページをSSL暗号化していれば 認証のときも暗号化がかかる? (2)UNIXアカウントをそのまま認証に使用できない? 宜しくお願いします。
- 締切済み
- ネットワーク
- SSL認証後のTracの動き
現在、ローカルにあるTracを外部に公開しようと考えています。 SSLを使わないローカル接続ではエラーは出ないのですが、 一度、SSL通信を行った後にTracのログインリンクを押すと IDとパスワードを入力する画面が出ずに 「Authorization Required」となってしまいます。 これは、SSL通信の際に入力したIDとパスワードを 引き継いだままになっているから出るエラーなのでしょうか。 Tracの認証はダイジェスト認証に設定をしてあります。 別サイトでSSL認証 → 公開するTracのページ と言う流れです。 どなたかご教授願えないでしょうか。 よろしくお願い致します。 使用している環境は下記の通りです。 Software related with Apache and Subversion プロダクト ライセンス バージョン Apache2+SSL Apache License 2.0 2.2.6 mod_python Apache License 2.0 3.3.0b Subversion Apache License 2.0 1.4.5 Subversion Python Binding Apache License 2.0 win32-1.4.5_py25 Software related with Trac and Python プロダクト ライセンス バージョン trac-ja BSD License 0.10.4-ja-1 Python Python License 2.5.1 setuptools Python License or ZPL 0.6c7-py2.5 ClearSilver Neotonic ClearSilver License 0.10.4.win32-py2.5 SilverCity BSD License 0.9.7-win32-py2.4 SQLite3 Public Domain 3.3.8(+文字化け対応パッチ) SQLite Database Browser Public Domain 1.3 Apache Maven Apache Software License 2.0 2.0.8 Hudson Creative Commons Attribution Share-Alike license and MIT License 1.212 Tracのプラグインとして、TracWebAdmin、TracAccountManager、WebAdminUsers、IniAdmin、 AuthzWebAdmin、AddCommentMacro、TagsPlugin、TocMacro、TracNav、XMLRPCPlugin、 CustomFieldAdmin、DecoratorPugin、CompeteUserPlugin、TracWysiwygを含んでいます。
- ベストアンサー
- その他(ITシステム運用・管理)
- SSLにおまけをつける。
規約では、 •Google は、SSL を使用して Google のサービスの多くを暗号化しています。 •お客様がお客様の Google アカウントへアクセスされる際、Google は、2 段階認証プロセスを提供し、Google Chrome ではセーフ ブラウジング機能を提供しています。 らしいのです。 GOOGLEさんもSSLでの暗号化に努力しているようですが、 おまけでもう少し自由に、手軽に暗号化できるようにはなりませんか? 例えば、Gメールを、日本発の暗号のカメリアでもう一回暗号化するとか... もちろん、本文を書いてから暗号化して、そのファイルを添付すれば良い事は理解できるのですが、 もう少し手軽にできないのでしょうか? 勝手に暗号化しても、規約違反にはならないと思っていますが、違反でしょうか?
- 締切済み
- Gmail
- SSLのページについて
宜しくお願い致します。 SSL-IDを取得して、特定のページ(入力フォーム等)だけSSLで通信したい場合に、HTMLやPHP上でなにか指定する必要があるのでしょうか?SSLにしたくないファイルと同じフォルダにファイルをアップして、アドレスに『https』と入れるだけなのでしょうか?
- ベストアンサー
- ネットワーク
- 単一IPアドレスによる複数SSLの設定
こんにちは。 はじめて投稿いたします。 単一IPアドレスによる、複数SSLの設定についてですが、通常はヘッダ部分が暗号化されてしまっているため、どの認証キーを使用すればよいかわからないので、単一IPアドレスによる複数SSLの設定はできないと思います。 しかし、最近SNI(Server Name Indication)という技術を知りました。 ただし、この技術はブラウザ依存があるため、XPのマシンで立ち上げたIEでは使用できないなどの問題があるようでした。 そのため、現在は複数IPアドレスを取得し、複数のSSLを設定している状況ですが、IPアドレスの払い出しには制限があるため、何か良い方法がないかと思っております。 SSLを設定しているサイトはコンシューマ向けのECサイトであるため、ブラウザの制限をかけるわけにもいきません。 もし、SNI以外の技術で解決できたり、SNIの技術+アルファでブラウザ制限をなくす技術があれば、と思い、投稿させていただきました。 OS:CentOS 5.6 Apache:2.2.3 OpenSSL:0.9.8f よろしくお願いいたします。
- ベストアンサー
- ネットワーク
お礼
ありがとうございますm(__)m ルート証明書って相当重要なモノなんですね。 安易にインストールしてはならないモノだったんですね。。誰でも簡単に発行してしまっては、証明書としての意味合いが全くなくなってしまうんですね(-_-;) 思い切って国というか、司法が管理すれば絶対安心なんですがね。。車の車検見たく。。 なかなか難しい問題ですね(>_<) ありがとうございましたーm(__)m