- ベストアンサー
ベーシック認証以外にSSLが必要でしょうか?
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
がると申します。とりあえずいくつか。 まずBasic認証ですが、あれを「セキュリティの一環」として捉えるのはNGです。 Basic認証は極めて盗聴が容易く、セキュリティとは呼べない脆弱に過ぎるものです。したがって、Basic認証があるから…という発想は避けることをお勧めいたします。 わかりやすく具体的には「HTTPのやり取りの毎回でIDとパスワードがほぼ平文に近い形で常にパケット上で流れている」ものです。脆弱極まりないといえるでしょう。 次にSSLですが。通信上の暗号化手法としては優秀です。 ただ、いわゆる証明書の類ですが、間違っても絶対に「自分で作った証明書」を用いてはいけません。通称「おれおれ証明書」「なんちゃって証明書」などと呼称されますが。 最近、ネット上でもよく議論されている話で、専門家ですら間違った認識をされている方が多々いるのですが。 結論から言うと「信頼された証明局から発行された証明書を用いていないSSL通信では安全が保障されない」ものです。自分で発行した証明書をもちいてよいのは「ローカルに閉じた環境でテスト時」のみ、です。「あくまでもテストを行う目的で、テストの期間中だけ、テスト用のマシン上で」という制約になります。 詳しくはこちらをご覧ください。http://www.atmarkit.co.jp/fdotnet/technology/idnfw11_07/idnfw11_07_04.html 。 で、通常のSSL通信ですと、安い証明局からの証明書は、場合によっては「正規の証明書を用いたフィッシングサイトの登場」など種々問題があるのですが(参照:http://itpro.nikkeibp.co.jp/article/NEWS/20060210/229014/ )。 「会社で拠点間の通信」であるなら、ドメインが事前にわかっているので、正規の証明局であれば比較的レベルの低い(ベリサイン規定でいうところのclass 1のような「実在証明を伴わない」)証明書でもあるいはよろしいかとは思います。 セキュリティは、正しい知識を基にしなければかえって脆弱性を生む危険性があります。 出来れば専門家にきちんとした報酬と共に確認を行うか、でなければせめて出来うる限りの調査をなさることを強くお勧めいたします。
その他の回答 (3)
- mtmonkey
- ベストアンサー率48% (167/345)
確立ではなく確率の間違いだと思いますが、一般的に確率とは母数がどのくらいなのかによって変わります。 また接続する場所がある程度セキュアな会社内だけなのか、それともインターネットカフェやモバイルなどでの接続があるのかなどによっても変わってきますよね。 証明書というのは主に不特定多数の利用者に対して、発行元が通信を保証するために第3者に発行してもらう使い方が多いのですが、あなたの場合それが必要でしょうか。 規定集と届出書が流出したところで、喜んだり得をする人がいるのでしょうか。 そういうことを踏まえて、高い証明書を買うか、それとも基本認証だけにするかを考えていただければ結構です。 なお、暗号通信そのものには証明書がどこであるかは関係がありません。その暗号を解読するにあたって証明書が「本物かどうか」だけにベリサインなどの第3者認証機関が存在するわけでして、本物であることが間違いなく理解される方法でインストールされていれば第3者に依頼する必要はありません。
お礼
回答ありがとうございました。 たしかに規定集と届出書が流出しても、被害は少ないですね。 費用対効果を考えますと、証明書は割高になりますね。
No.1さんに捕捉のかたちになりますが・・ ベリサインなどが高いのは、申し込みのときに登記簿謄本などを提出させて、その証明書が確かなモノであるということを、ベリサインが署名してあるからです。 が、世の中、どこの誰にでもすぐに証明書を発行します、っていうような、激安の証明書(数千円くらいだったかな?)もありますし、 自分で署名してしまう、通称「なんちゃって証明書」というのもあります。 どちらも、証明書の信用に関わる問題なだけで、SSLの暗号化という面では一切違いはありません。
お礼
回答ありがとうございました。 証明書も玉石混合なのですね。 勉強になりました!
- inu2
- ベストアンサー率33% (1229/3720)
べつにベリサインなどがSSLを提供しているわけではありません、SSL暗号化を導入するだけならばタダです ベリサイン等の業者はSSLサーバ証明書を発行しているだけにすぎませんよ つまり、不特定多数の人がアクセスする必要のある場合に、その会社(例えばあなたの会社)が「実在している会社ですよ」と証明してくれているに過ぎません 支店や支局間ならばVPNを導入するってのも手ではありますが、SSLで間に合わせたい というのであればタダで導入できますよ
お礼
早速の回答ありがとうございました。 証明書なしでのSSL暗号化も検討したのですが レンタルサーバー(WebARENA Suite2)が対応してないとのことでした ので、ベリサインなどの認証局を考えました。
関連するQ&A
- 企業認証SSLと組織認証SSLの違いについて
仕事でSSLを導入することになり、SSLについて調べています。 SSLという言葉は知っていいても、人に説明できるような知識はなく、 色々なサイトや書籍を参考にして資料を作っているのですがその中でどうしても解らないことがあり質問させて頂きました。 調べていると、「企業認証SSL」や「組織認証SSL」という言葉が出てくるのですが、この2つに違いはあるのでしょうか? SSLとEVSSLの違いなどは色々なサイトに書いてあるのですが、この2つの違いはよく解らず頭がぐちゃぐちゃになってしまいました。 単純に、ベリサイン社、グローバルサイン社等の認証局による製品の名前の違いかな?とも思ったのですが確信がなく、また仮にそうだとしたらどちらが一般的なのでしょうか・・・? 上手く説明できなくて申し訳ありません。 詳しい方がいらっしゃいましたらよろしくお願いします。
- ベストアンサー
- ネットワーク
- SSLの認証局で、ケータイ対応率が高いところは?
SSLの認証局で、ケータイ対応率が高いところは? SSLの認証局(っていうんでしたっけ?ようはベリサイン、セコム、ジオトラスト、グローバルサインなどの会社)で、ケータイ対応率が高いところは、 どこでしたでしょうか? (アンドロイドなどスマートフォンも含めて) また、海外へのケータイ対応率が高いとなおうれしいです。 でも、優先順位としては日本で発売されてるケータイ優先。 失念してしまいまして、ご存じの方、お教えくださいませ。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- SSLが効いてなかった事件ってあった?
SSL(暗号)送信を導入している「○○情報センター?」とかいう国運営のサイトで、数時間もの間暗号化されてなかったという事件があったと人から聞いたのですが、本当でしょうか? また、この同一事件でなくても、このように「費用を支払ってSSLを導入しているにも関わらず、効いていない時がある」などということが実際にあるのでしょうか? 自分のところでSSLを導入しようと検討していて、これが本当ならどうしようかと非常に不安に思っています。 それとも認証機関によってこのようなエラーがあるところとないところ、または出やすいところと少ないところなどという違いがあるのでしょうか?(ベリサインは良いけどThawteはよくないとか、サーバによって良し悪しありとか) どなたか専門家の方がいらっしゃいましたら、本当のところを教えて頂けないでしょうか? 宜しくお願いします。
- ベストアンサー
- ネットワーク
- 利便性の高い認証局は?
サイトでSSL(https)を利用したサーバ認証 を行いたいと考えています。 自分はベリサインしか利用したことがないので 他の認証局のコストやサポートに詳しくないです。 自分がベリサインを利用したのは 単に一番メジャーであったことと 1度利用すると、手続きなどが覚えているので また利用してしまう、ということでした。 しかし利便性やコストを再検討したいと考え、 今回、他の認証局も検討中です。 以前、ベリサインを利用して現在、他の認証局 を利用して満足されている方、アドバイスを いただけると助かります。 ちなみに、私がベリサインを利用したときは 発行までの手続きが煩雑で、時間がやたらと長かったのが不満でした。 しばらくした後に発行間での時間が短い ”エクスプレスサービス” なるものが出て、さらにそのことでお金を取るのかと驚いた覚えがあります。
- ベストアンサー
- ネットワーク
- SSLについて
市立図書館のインターネット予約画面でID,パスワードなど入力するときにSSLか非SSLかを選択する必要があります。SSLについての説明はこちらということで見てみると下記のような説明があります。情報が暗号化され保護されるのであればいいことであってSSLを選択すればいいと思いますがなぜわざわざ非SSLを選択させるようにもしているのでしょうか。SSLだけにしておいていいのではないのでしょうか。 ちなみに県立図書館でのインターネット予約ではこのような選択をさせることはありません。この場合はどちらになっているのでしょうか。 SSL・・・・・・送信する情報が暗号化され,保護されます。 非SSL・・・・送信する情報は暗号化されません。 ※表示される内容は同じです。ご希望の方をクリックして進んでください。
- ベストアンサー
- その他(インターネット・Webサービス)
- Apacheのユーザ認証について
Apache1.3.*でBASIC認証をしようと考えているのですが、 2点わからない点があるので、わかる方教えてください。 (1)BASIC認証で入力するパスワードを暗号化するには? →認証をかけたいページをSSL暗号化していれば 認証のときも暗号化がかかる? (2)UNIXアカウントをそのまま認証に使用できない? 宜しくお願いします。
- 締切済み
- ネットワーク
- SSLの使い方の工夫?
ニュースで時々話題になるYahooJAPAN ID流出問題について、 ですが、ヤフーメールはSSLで暗号化するから安全だをとの説明も良く見ます。 なんとなく、頼りにしたいSSLですが、 この、SSLの設定をうまくやって、 IDとパスワードが流出しても、正規の持ち主以外はヤフーメールを読めない。ようにする。 そんな、SSLの使い方はできないのでしょうか? よろしくお願いします。
- ベストアンサー
- ネットトラブル
- SSL接続 中間CAの必要性
制限されたネットワーク内でプライベート認証局(CA)を作成して、SSLを導入しようと考えています。 そこで疑問に思っていることがあるのですが、「中間CA」がよく利用されていますが、「中間CA」の必要性とは一体何なのでしょうか。 階層を設けることで「なりすまし」の防止対策、セキュリティ向上を狙っているのでしょうか。 認証局が階層設定しているから必要とかではなく、なぜそのような階層構造を行っているのか理由を知りたいです。 ベリサインなどのパブリック認証局では3階層、4階層(クロス)となっており、中間CA証明書が必要になっています。それはCAの階層構造が3階層、4階層となっており、中間CAが存在するため中間CA証明書が必要なのは理解できます。中間CAを実装しなくても、「CA証明書⇔サーバ証明書」と2階層でもSSL接続は可能ですよね。 また、パブリック認証局、プライベート認証局ともに「中間CA」の利用概念は同じなのでしょうか。 パブリック認証局は外部の不特定多数の人向けなので、意図的にそうゆう構造を用いているとか の理由などは存在するのでしょうか。 ご存じの方がおられましたら、教えていただきたいです。 よろしくお願いいたします。
- ベストアンサー
- ネットワーク
- gooメールのパスワード認証
gooメールのパスワード認証がうまくいきません。 OSはWindows7で、メールソフトはThunderbirdです。 受信の方は、ポート番号995で 「暗号化されたパスワード認証」は使えませんでしたが、「TLS証明書」という認証方式を使えば SSLで接続を保護した上でうまく受信できました。 これでも一種の暗号化がなされていると思っていいですよね? 送信の方が、ポート番号が465,587のどちらか 認証方式を暗号化された「パスワード認証」、「Kerberos/GSSAPI」、「NTLM」のいずれか の6通りの組み合わせのどれでもうまくいきません。 ポート番号を465にして 「認証なし」とすればSSLで接続を保護した上で 送信できましたが、 「認証なし」ってどういうことなんでしょう? ここのメールはパスワード確認なしでのメール送信が行えるということなのでしょうか? それだとメールアドレスさえ知っていれば 誰でもメール送信が可能になるのでは、などと思ってしまったのですが・・・ 送信の方もなるべく 何らかの暗号化がされた認証を行いたいです。 どなたかよろしくお願いいたします。
- ベストアンサー
- その他(メールサービス・ソフト)
お礼
大変参考になるご意見ありがとうございました。 やはり専門家の方からみるとセキュリティの抑えるポイントが全然違いますね。 挙げて頂いたサイトなどを参考に勉強したいと思います。