SSLそのものとベリサイン等の認証局の関係

宜しくお願い致します。 ここ最近、SSLについて触れる機会が多く色々と調べていたらちょっと気付いたのですが、SSLとい...

noname#14035 さんからの 回答

質問者が選んだベストアンサー

  • 2005/03/08 22:07
  • 回答No.4
  • ベストアンサー
#2のJzamraiです。

さて、他の回答(書き込み)を受けての補足回答は本サイトの主旨に反しかねないとは思いますが、あくまで「回答者や閲覧者にとっての利益」に繋がると信じる(話の本質をより良く理解していただく為の)補足説明を私の方からはさせてください。

#3のsuzuiさんのご指摘、

>>有償のサーバIDは、信頼されたいから使うというよりは、リスクを軽減させるために使うのです。

>>これは嘘ではありませんが、リスクの考慮が不足していると思います。その点はNo.2さんも明確にされていません。

いわゆる「専門家」の方のご意見・ご指摘、私も有難く拝読しましたが、このように断言されてしまうと、正直少々違和感を覚えます。

suzuiさんご紹介の専門家(高木浩光 氏)による下記のブログは、様々な解説や考察(PKIやプライバシーに関する技術論もふくめ)、氏の博識や経験に裏づけされた、関連分野に関心を持つ者にとって非常に有益な内容のものであると私も感じます。

私自身、多大なる恩恵を受けている一人で、定期巡回先とさせていただいています。(ちなみに、nikuqさんの言及されている「公的機関による認証の(惨状!?)じゃなくて”現状”」についての考察(わが国では自治体ベースの話が多いですが。)も読む事が出来ますヨ。)

■高木浩光@自宅の日記■

http://takagi-hiromitsu.jp/diary/20041112.html

これは、日ごろ私が情報セキュリティーについて強く感じていて、関連する話をする際に常に念頭においていることなのですが、

>公人(インターネット上のノードを運用する組織)として、全体的なポリシーをもとに、採用する対策技術についても正しい理解につとめ、これらを正しく管理・運用し続ける事。

>それが有効なリスク軽減策となり、安全な(サイト)運営につながるという事実。(「自組織のリスクヘッジ」と「利用者の安全」という価値提供を可能にする。)

>ひいては、それが当該組織の利益や信用・信頼の獲得につながるという考え方。(リスクヘッジを含めた損得勘定と社会的責任を両立させるという点で。)

上記の内容は、情報セキュリティーについての話の重要な柱ではないかと思っています。(もちろん、さまざまな視点があってしかるべきですが。)

情報セキュリティーの話をする以上、「リスクと利便性の天秤」(利便性を損なわない範囲で、リスクの最小化を目指す。)という考え方は、誰もが当然年頭に置いておくべきことで、#1のanmochiさんのご解説も、当然そうした背景を意識されて記入いるはずだと思います。(私の邪推かもしれませんが…。)

社会への普及と自然検証によってその有効性を認められている様々なセキュリティー対策については、そのすべてに「リスク・ヘッジ」の考え方を(大なり小なり)反映しているものだと思います。(各組織別の要件に対して、これらの技術を最適な形で複合的に組み合わせた上で、有効に機能させるという考えかたも重要でしょう。)

公人(組織)であれば、「訴訟対策(民事・刑事双方の)」を含めたリスクヘッジを考えるのは当然のことだと思います。(もし、そうでなければ単なる”ダメダメ組織”ですからね。)

もちろん、「自組織に対して不利になりそうな穴を埋めていく。」という考え方も当然必要なものだと思います。(今の時代、性善説や理想論ばかり語るのは、完全な認識不足でしょうから。)

「信用・信頼」というのは、基本的には「後からついてくるもの」であって、日々の地道な努力こそがモノを言うものだと思いますし、そのためにも、当然サービスの安全性を確保すべきだとも思います。(まっとうな組織であれば。)

既述のブログ内でも、高木氏は「「安全なサイト」というのは、サイト自体のセキュリティー的な強度云々ということではなく、”利用者自身の安全”を確保できるサイトという意味である。→そのためにも技術の正しい理解が必要である。」という主旨の説明をされています。(もちろん、一文だけを捕らえて考察するのは危険であり、氏にはイロイロな含みを込めて書かれているのでしょうが。)

SSL(PKI)の技術やその実装に関しても、「損得勘定」「リスクヘッジ」「責任」「サービス訴求」といった様々な目的を包含しているもの(またはそのように活用できるもの)という言い方もできるのではないでしょうか。

結局、何が言いたいのかというと、「このスレッドに書かれている事柄は、どの回答者のものも過不足無く全て重要であり、情報セキュリティーにかかわる以上、知っておくべき事柄であろう。」ということです。

以上、「有償の証明書の必要性」というご質問の内容(各論)から、いささか逸脱してしまった感もありますが、本補足を含め、何らかのヒントになれば嬉しく思います。


それでは。
お礼コメント
nikuq

お礼率 75% (477/631)

ありがとうございますm(__)m
おっしゃる通り、皆さんのご意見全てが必要な事だと感じております。
もちろん、最終的に行った行動に対して責任を取るのは自分なので、どの様に解釈し行動しても、その結果は自分のモノだと思います。ただ、その結果をだす方法も、知っているのと知らないのでは大きく変わってくると思います。私自身、この様な質問をしたのも自分が考えた事に自信がないので質問して、皆さんの意見をお聞かせ頂き、自分なりの考えをまとめるためです。なので、Jzamrai様がおっしゃる通り、私からすると、書き込んで頂いた方全ての意見が大事だと思っております。実際、非常に参考になるご意見を頂いております。
皆様には心から感謝しております。
ありがとうございます!!m(__)m
投稿日時:2005/03/09 16:45
この回答にこう思った!同じようなことあった!感想や体験を書こう!
この回答にはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。
関連するQ&A
  • Apache2.0でのSSL設定 ネットワーク

    JSPで作られたページをSSL対応したいと思います。 但し、全く知識が無いので教えて頂きたく。 環境:Apache2.0とTomcat5.0.28 ベリサインを利用しようと思うのですが、 ・既存のJSPプログラムやHTMLファイルにどの程度の改変を  必要とするのでしょうか?。 ・サーバー側の設定のみで対応出来るのでしょうか?。 どうぞ宜しくお願い致します。...

  • [【Apache】apachectl stop,,sslstartだと... Linux系OS

    CentOS4.4、Apache/2.0.63 mod_ssl/2.0.63 でApacheを運用しています。 なお、レンタルサーバのVPSでやってます。 なお、SSLの認証局は、ベリサインなどではなく、いわゆる「オレオレ認証」というか、自分のサーバを認証局にしています で、いつも、apacheを再起動するとき、 [root@www ~]$ apachectl stop [root@www ~]$ apachectl startssl Apache/2.0.63 mod_ssl/2.0.63 (Pass Phrase Dialog) Some of your private key files are encrypted for security reasons. In order to read them you have to provide the pass phrases. Server example.com:443 (RSA) Enter pass phrase: OK: Pass Phrase Dialog successful. [root@www ~]$ というように、「pass phrase」をきかれます。 これは、これでOKというか、こうあるべきなのですが・・・・ 「apachectl restart」 とやってみたら、 [root@www ~]$ apachectl restart [root@www ~]$ というように、「pass phrase」をきかれずに、再起動してしまいました。で、SSLも有効になっています。 これだとセキュリテイ的にまずいので、この状態を回避したいのですが、どうすればいいでしょうか? よろしくお願いいたします。...

  • verisignのSSL証明書はどこの国で購入するのが一番安いでしょう... その他(インターネット・Webサービス)

    ちなみにverisign.co.jp(日本)のセキュアサーバIDは、ssl-secure.jpというサイトで定価\85050のところ58800円で購入できるようです。 私は昨年4月にverisign.com(アメリカ)でセキュアサーバIDを購入しました。値段は覚えてませんが、85050円よりはずいぶん安かったと思います。現在は2年で$695、3年で$995と、やはり日本のベリサインよりかなり安いです。ヨーロッパや韓国なら、もっと安いかな、と思い、質問する事にしました。...

  • 利便性の高い認証局は? ネットワーク

    サイトでSSL(https)を利用したサーバ認証 を行いたいと考えています。 自分はベリサインしか利用したことがないので 他の認証局のコストやサポートに詳しくないです。 自分がベリサインを利用したのは 単に一番メジャーであったことと 1度利用すると、手続きなどが覚えているので また利用してしまう、ということでした。 しかし利便性やコストを再検討したいと考え、 今回、他の認証局も検討中です。 以前、ベリサインを利用して現在、他の認証局 を利用して満足されている方、アドバイスを いただけると助かります。 ちなみに、私がベリサインを利用したときは 発行までの手続きが煩雑で、時間がやたらと長かったのが不満でした。 しばらくした後に発行間での時間が短い ”エクスプレスサービス” なるものが出て、さらにそのことでお金を取るのかと驚いた覚えがあります。...

  • Apache起動時に秘密鍵パスフレーズを省略したい Linux系OS

    ベリサインで取得していただいた、秘密鍵をインストール後、アパッチの再起動を行うと、SSL起動時に毎回パスワードが聞かれます。 http://support.6web.ne.jp/archives/15 上記サイトを確認したところ、既に作成されたキーファイルよりパスフレーズをとり、別名で作成されたファイルをhttpd.confで指定するとのことですが、再度、CSRをベリサインに送付し、証明書を取得し直す必要はないのでしょうか。 また、このサイトに記述されている #Enter pass phrase for ./2011key.pem について、openssl文にて既にパスフレーズなしの鍵が作成されていると思いますが、この文を実行すると、パスフレーズなしで作成されたファイルにパスフレーズが格納される認識で正しいでしょうか。 また、他にもパスワードを記述したスクリプトファイルを用意する方法なども存在するらいしいのですが、一般的はどのような方法がよいかも教えていただけたら幸いです。 よろしくお願いいたします。...

ページ先頭へ