SSLそのものとベリサイン等の認証局の関係

宜しくお願い致します。 ここ最近、SSLについて触れる機会が多く色々と調べていたらちょっと気付いたのですが、SSLとい...

suzui さんからの 回答

  • 2005/03/08 11:17
  • 回答No.3
suzui

ベストアンサー率 67% (199/297)

SSLと証明書について考えるときに、暗号化と認証という言葉が出てきますが、これは別の概念なので、区別して考えてください。意外とこれができていない人が多いので・・・

暗号化は盗聴を防ぐためのもので、認証は、改ざん・成りすまし(およびその結果としての盗聴)・否認を防ぐためのものです。
暗号化なしで認証だけを行うことはありえますが(本人確認さえできればよく情報は秘密でもなんでもない場合)、認証なしで暗号化だけを行う行為はインターネット上のデータ交換においては無意味です。(だれだかわからない相手から秘密の情報を受け取っても仕方がない)

SSLで使うサーバIDは、認証と暗号化の両方に使われ、不可欠な要素です。

それから、No.1さんのコメントについて補足というか、考慮が足りないと思われるのでコメントすると、

「第三者証明機関を利用するしないに明確な用途の違いがある訳ではないのだが、ありていに言うとブラウザに信用される事に金を払う価値があるかないかだな。」
「もちろん社内LAN内でイントラネットを構築するような場合は、LinuxやWindows Serverなどで自前で証明機関を立てればそいつが発行するルート証明書をクライアントにインストールして警告なしのSSL通信ができる。」

これは嘘ではありませんが、リスクの考慮が不足していると思います。その点はNo.2さんも明確にされていません。

「オレオレ証明書」を使うリスクについては、以下のページを参考にされてください。

無料でオレオレ証明書を使ったはいいが、あなたの管理が杜撰なせいでサーバIDが盗まれて、他人に損害を与えた場合は告訴される可能性があります。
社内で使った場合でも、管理が杜撰なせいで従業員や顧客の個人情報が洩れたらやはり告訴される可能性があります。

有償のサーバIDは、信頼されたいから使うというよりは、リスクを軽減させるために使うのです。

http://takagi-hiromitsu.jp/diary/20050123.html
http://takagi-hiromitsu.jp/diary/20050205.html
お礼コメント
nikuq

お礼率 75% (477/631)

ありがとうございますm(__)m
ルート証明書って相当重要なモノなんですね。
安易にインストールしてはならないモノだったんですね。。誰でも簡単に発行してしまっては、証明書としての意味合いが全くなくなってしまうんですね(-_-;)
思い切って国というか、司法が管理すれば絶対安心なんですがね。。車の車検見たく。。
なかなか難しい問題ですね(>_<)
ありがとうございましたーm(__)m
投稿日時:2005/03/08 18:19
この回答にこう思った!同じようなことあった!感想や体験を書こう!
この回答にはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。
関連するQ&A
  • Apache2.0でのSSL設定 ネットワーク

    JSPで作られたページをSSL対応したいと思います。 但し、全く知識が無いので教えて頂きたく。 環境:Apache2.0とTomcat5.0.28 ベリサインを利用しようと思うのですが、 ・既存のJSPプログラムやHTMLファイルにどの程度の改変を  必要とするのでしょうか?。 ・サーバー側の設定のみで対応出来るのでしょうか?。 どうぞ宜しくお願い致します。...

  • [【Apache】apachectl stop,,sslstartだと... Linux系OS

    CentOS4.4、Apache/2.0.63 mod_ssl/2.0.63 でApacheを運用しています。 なお、レンタルサーバのVPSでやってます。 なお、SSLの認証局は、ベリサインなどではなく、いわゆる「オレオレ認証」というか、自分のサーバを認証局にしています で、いつも、apacheを再起動するとき、 [root@www ~]$ apachectl stop [root@www ~]$ apachectl startssl Apache/2.0.63 mod_ssl/2.0.63 (Pass Phrase Dialog) Some of your private key files are encrypted for security reasons. In order to read them you have to provide the pass phrases. Server example.com:443 (RSA) Enter pass phrase: OK: Pass Phrase Dialog successful. [root@www ~]$ というように、「pass phrase」をきかれます。 これは、これでOKというか、こうあるべきなのですが・・・・ 「apachectl restart」 とやってみたら、 [root@www ~]$ apachectl restart [root@www ~]$ というように、「pass phrase」をきかれずに、再起動してしまいました。で、SSLも有効になっています。 これだとセキュリテイ的にまずいので、この状態を回避したいのですが、どうすればいいでしょうか? よろしくお願いいたします。...

  • verisignのSSL証明書はどこの国で購入するのが一番安いでしょう... その他(インターネット・Webサービス)

    ちなみにverisign.co.jp(日本)のセキュアサーバIDは、ssl-secure.jpというサイトで定価\85050のところ58800円で購入できるようです。 私は昨年4月にverisign.com(アメリカ)でセキュアサーバIDを購入しました。値段は覚えてませんが、85050円よりはずいぶん安かったと思います。現在は2年で$695、3年で$995と、やはり日本のベリサインよりかなり安いです。ヨーロッパや韓国なら、もっと安いかな、と思い、質問する事にしました。...

  • 利便性の高い認証局は? ネットワーク

    サイトでSSL(https)を利用したサーバ認証 を行いたいと考えています。 自分はベリサインしか利用したことがないので 他の認証局のコストやサポートに詳しくないです。 自分がベリサインを利用したのは 単に一番メジャーであったことと 1度利用すると、手続きなどが覚えているので また利用してしまう、ということでした。 しかし利便性やコストを再検討したいと考え、 今回、他の認証局も検討中です。 以前、ベリサインを利用して現在、他の認証局 を利用して満足されている方、アドバイスを いただけると助かります。 ちなみに、私がベリサインを利用したときは 発行までの手続きが煩雑で、時間がやたらと長かったのが不満でした。 しばらくした後に発行間での時間が短い ”エクスプレスサービス” なるものが出て、さらにそのことでお金を取るのかと驚いた覚えがあります。...

  • Apache起動時に秘密鍵パスフレーズを省略したい Linux系OS

    ベリサインで取得していただいた、秘密鍵をインストール後、アパッチの再起動を行うと、SSL起動時に毎回パスワードが聞かれます。 http://support.6web.ne.jp/archives/15 上記サイトを確認したところ、既に作成されたキーファイルよりパスフレーズをとり、別名で作成されたファイルをhttpd.confで指定するとのことですが、再度、CSRをベリサインに送付し、証明書を取得し直す必要はないのでしょうか。 また、このサイトに記述されている #Enter pass phrase for ./2011key.pem について、openssl文にて既にパスフレーズなしの鍵が作成されていると思いますが、この文を実行すると、パスフレーズなしで作成されたファイルにパスフレーズが格納される認識で正しいでしょうか。 また、他にもパスワードを記述したスクリプトファイルを用意する方法なども存在するらいしいのですが、一般的はどのような方法がよいかも教えていただけたら幸いです。 よろしくお願いいたします。...

ページ先頭へ