• ベストアンサー

SSL サーバ証明書ってどうやって見るの

SSLに対応したページで、ブラウザの鍵マークをダブルクリックして表示されるサーバ証明書の見方を教えてください。 なにやらたくさんの情報が表示されますが、何処をどう見てどう思えばよいのでしょう。 自分なりには・・・ ・発行者 ・有効期間 ・サブジェクト ・キー使用法 ・・・・などが重要そうかなと思いますが、正しい見方、見るポイント、押えるべきポイントなど、アドバイスをいただければと思います。 また、このことが書いてあるサイトなどでも結構です。 よろしくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
noname#43129
noname#43129
回答No.3

ちょっと考えてきます。本物の証明書ならハッシュなんて見ても仕方 ないし、暗号強度や期限の問題でもないので難しいですね。 日本電子認証協議会にメールで聞いてみます。おそらく現状でも EVSSL証明書くらいしか対策がないくらい弱いのでそれくらいしか 返事が返ってこないと思いますが。 http://www.jcaf.or.jp/ せめて、一般の消費者に世界中の認証局の申請方法を含めた信頼度の 状況が一目でわかる様なサイトがあればいいのですが。もうそろそろ、 作り直す時期が来ているのかもしれません。

wataruseken
質問者

お礼

ずいぶん日がたってしまい、年を越してしまいました。 その節はありがとうございました。 また、質問させていただくかもしれません。 よろしくお願いいたします。

wataruseken
質問者

補足

このあたりの情報って、なかなか見つからないですね。 というか、みんな「鍵マークがつけばOK」で済んでしまっているんでしょうか。メジャーなサイトは、ほとんど大丈夫なんでしょうか。 今まで、みんなに聞かれて「鍵マークでOKOK!」って答えていたのですが、本当にそうかって言われると、ちょっと心配です。 tumuri-kさん、本当にお手数をおかけします。 私もなにか分かりましたら、連絡いたします。

その他の回答 (2)

noname#43129
noname#43129
回答No.2

それらに関してですが、あまり感心できない事態です。実際フィッシング 詐欺にも使われていたようです。すいません前言撤回ですね。 実際それらに関しては難しいようです。電子証明書がどこから発行されて いたかを確認しておくのが良いかも知れません。鍵マークをクリックすれ ば、電子証明書の内容を示すウィンドウが出ますので、 「発行者のステートメント」を押してください。としか言えないですね。 その証明書を発行した会社がどういった形でサーバ証明書を発行している のかHPで確認する事が必要なようです。まさかこんないい加減なCAが増え ているとは思いもよりませんでした。これでは何のための信頼できる 第3者機関なのか全く分からないです。

wataruseken
質問者

補足

一般の消費者にも、なんかもっとわかりやすい見せ方ってないんでしょうか?消費者金融か保険の証書のよう。 見てもわからないから途中で断念して「まあ、いっか」って感じで、送信してしまいます。

noname#43129
noname#43129
回答No.1

暇な時読んでおいてください。役には立つと思います。 https://www.verisign.co.jp/basic/pki/index.html その証明書が信用できなかったり、有効期限等が切れているときは 自動的に警告を促してくれるので、一般の利用者の方がほとんど 意識することはありません。 ただ、暗号のbit数は長いほうが方がいいですし、できるならベリサイン やジオトラストの様な名前の知れた証明書を使っていた方が確認しやすい 安心感はあります。 発行者、有効期間、サブジェクト、キー使用法は見ても損はありませんが 前述とおりブラウザにバンドルされたリストから自動的に確認するので 特に大丈夫です。

wataruseken
質問者

補足

ありがとうございます。 べりサインのサイト確認し、次のように自分なりにまとめてみました。 基本的には、鍵マークがつくだけで安心できる。 その理由は・・・ ・鍵マークがつくということは信頼できる認証局が証明書を発行している証。 ・ブラウザには、基本的に信頼できる認証局の情報(公開鍵)だけがあり、その認証局が証明書を発行したから。 ・・ということになる。 ちなみに最近知ったのですが、メールアドレスだけで取れる”サーバ証明書”もあるそうなのですが、鍵マークから表示されるサーバ証明書では何処で違いを見つければよいのでしょうか? (IE7は使わないとすると)

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • SSL証明書インストールの必要性

    職場のクライアントパソコンのブラウザにSSL通信用のSSL証明書を各サイトごとにインストールする作業をしております。 ふと思ったのですが、ブラウザの画面下にある鍵のマークをクリックして、インストールの作業をしておりますが、ただ通信するだけだったら何もしなくても使えると思います。わざわざサイトごとに配布している証明書をブラウザにインストールする必要性があるとしたら、どのようなことがありますでしょうか。それともこの作業はあまり意味のないことなのでしょうか。 変な質問で申し訳ありませんが、よろしくお願いします。

  • 双方向SSL時にクライアント証明書が表示されない

    現在、顧客DMZ内にあるサーバに対し、インターネット上の 特定のクライアント様からサービスを利用できるように、 双方向SSLの環境を構築しておりますが、困った事があります。 詳細は次のようになります。長文となっておりますが、何卒ご教授 よろしくお願いいたします。 【1.現象】 ブラウザからSSLを行うサーバにアクセスすると、ポップアップボックスが表示され、 クライアントのブラウザの証明書ストアにあるクライアント証明書のうちどれを 使用するかが尋ねられますが、ボックスに何も表示されません。 【2.システム構成】 (1)アプリケーションサーバ  OS:Windows 2003 Server  WWWサーバ:IIS 6.0  サーバ証明書:セキュア・サーバID(ベリサイン社)  IIS設定:      ・サーバ証明書インストール      ・「セキュリティで保護されたチャネル (SSL) を要求する」にチェック      ・「クライアント証明書を要求する」を選択  ブラウザ:IE 6.0 (2)CA機関(個人持ち)  Win2003の証明書サービスを使用し、クライアント証明書を発行します。  ここで発行した証明書を(3)のクライアントに配布します。 (3)クライアント  OS:Windows XP SP2  ブラウザ:IE 6.0  (2)において、証明書サービスから発行したクライアント証明書を  クライアント機にコピーし、ダブルクリックし証明書をインストールしました。 ◆補足 ・上記(1)、(3)間でSSL通信を行います。 ・上記(1)、(2)、(3)は各々別マシンです。 ・上記(1)は社内ネットワーク上にあり、(3)はインターネット上から(1)にアクセスします。  (2)はネットワークに繋がっておらず独立しています。 ・上記(3)から(2)のアクセスにおいてクライアント証明書が表示されません。  また、試しに(1)において、(3)と同様の手順でクライアント証明書をインストールし、  (1)のブラウザを使用し(1)にアクセス(自マシンに対しhttpsアクセス)しましたが、  クライアント証明書が表示されませんでした。 【3.ご教授頂きたい事】 クライアントマシンのクライアント証明書が 表示されない原因、対処について教えてください。

  • SSLページでの証明書の見方

    ログインのページは大抵SSLですが鍵のマークをクリックすると 証明書が確認でき、証明書発行機関名とログインしようとしているページ を運営している会社の名前が見れますが、ほかに証明書が本物であるという 証拠はどこをみたらいいですか? 数字と英字の混ざった2文字ずつの文字列とか関係ないんですか? 証明書発行機関名とログインしようとしているページ を運営している会社の名前の他に実際電話で企業に確認したいのですが。

  • HTTPS(SSL)の仕組みとセキュリティについて

    SSLの仕組みと,そのセキュリティについての質問です. 現在,HTTPSで利用するSSLの仕組みについて勉強をしています. しかしながら, 自身がSSLの仕組みについて正しく理解できているか分かりません. また,どうしても理解ができない点が何個かあり,質問させて頂く次第になりました. (様々な書籍やwebを拝見したのですが,いづれも腑に落ちませんでした...) そのため,まず大まかに私が理解しているHTTP上のSSLの仕組みを書き,最後に質問を書かせて頂こうかと思います. 長くなりますが宜しくお願い致します. ■主な登場人物 ・認証局  CA秘密鍵  CA証明書(公開鍵?)  CA証明書発行要求  ・証明書  KEYファイル(秘密鍵/公開鍵)  CSRファイル/申請書(issuer側の情報/公開鍵)  CRTファイル/サーバー証明書(CSRを認証局の秘密鍵で捻ったモノ) ■証明書の発行 1-1.証明書を発行したい者がCSRファイルという申請書を作成し,認証局に送ります.    →CSRには登録情報(issuer)やサーバー(証明書を発行したい者)の公開鍵などが含まれます. 1-2.認証局はCSRファイルが適切であれば,署名(subject)し,認証局の秘密鍵でCSRの中の公開鍵のみを暗号化します. 1-3.これがCRTファイルになり,証明書を発行したい者に送り返されます. この時,サーバー(証明書を発行した者)は認証局によって署名されたCRTファイルを持っています. 次にこれを利用したHTTPS通信について書きます. ■HTTPS通信 2-1.クライアントがサーバーに通信要請をします. 2-2.サーバーは証明書(CRT)をクライアントに送ります. 2-3.クライアントは送られてきたCRTが信頼できるか認証局の証明書(公開鍵)を使って検証します.    →CRTに埋め込まれているサーバーの公開鍵は認証局の秘密鍵によって暗号化されているので,これを認証局の公開鍵で複合化します.    →認証局の公開鍵はルート証明書といい,事前にブラウザに組み込まれているものとします. 2-4.クライアントは共通鍵を発行します. 2-5.クライアントはCSRから複合化したサーバーの公開鍵を用い,自身で発行した共通鍵を暗号化してサーバーに送ります 2-6.サーバーは受け取った暗号データを自身の持つ秘密鍵で複合化し,共通鍵を取得します. 2-7.後はこの共通鍵でデータを暗号化し通信します, ■質問 1.オレオレ証明書+認証局の場合でも正常に通信ができるのはなぜか 私の理解だと2-3で,クライアントが認証局の公開鍵を用い,サーバーの証明書からサーバーの公開鍵を複合化し,それを元に共通鍵を暗号化しています. これはクライアントが認証局のルート証明書(公開鍵)を保有しているから複合化できるはずです. オレオレ証明書の場合は,認証局の公開鍵がクライアントにインストールされていません. そのため,サーバーの公開鍵を複合化できず,共通鍵の生成に失敗し,通信できなくなると思います. しかしながら,ブラウザは「署名が不明な接続先です」とのエラーを出すだけで,通信(接続)ができてしまいます. なぜでしょうか. 2.IssuerとSubjectは暗号化されていないのか 私の理解だと1-2の認証局では,サーバーの公開鍵しか暗号化されていません. ということはIssuerとSubjectは暗号化されていないということでしょうか. また,それはなぜでしょうか. 3.IssuerとSubjectは偽装できるか opensshを用いることで認証局を構築することができます. この時に,Subjectの設定をベリサインの認証局と全く同じようにし, 証明書も,ベリサインの認証局を使っているサイトのIssuerと全く同じようにした場合, SubjectとIssuerが全く同じ証明書ができると思います. この場合は,本物の証明書と同様の証明書を複製できてしまうのでしょうか. できないとは思いますが,それはなぜでしょうか. 4.証明書の偽装は可能か ブラウザから証明書の情報を見ることができます.もちろんbyteデータのraw certificateも見ることができます. この情報を丸々コピーし,全く異なるサーバーに証明書として読みこませて通信した場合は, 署名されてしまうのでしょうか. されないとは思いますが,それはなぜでしょうか. (例えば,URL=CN情報が異なっているから確認できるとか..?それならCN情報だけ書き換えてしまえばいい?) 5.証明書の検証をするにはどうしたらよいか 証明書を検証をするには,その証明書を発行した認証局の公開鍵を利用するしかないのでしょうか. 例えば,サーバー証明書(CRT)のフィンガープリントsha1データを事前に保持さえしていれば, サーバーに証明書を示された際にCRTのフィンガープリントを比較すれば,特定のサーバーかどうか検証できるか・・? 6.MITMについて MITM攻撃により,証明書が途中で書きかわることが考えられます. この場合は,書き換わった証明書をどのように特定すればいいのでしょうか. 例えば,認証局のルート証明書がないなどが考えられますが, 仮に,Rapid SSLなどで署名されている証明書でMITM攻撃がされた場合どうなるでしょうか? この場合は,Issuerなどを比較するしかないように考えられます. しかし,Issuerはcsr申請の際にうまいこと,書き換えることができてしまいます. そう考えると,どのような対策ができるでしょうか フィンガープリントなどで比較することになるのでしょうか, フィンガープリントは偽装することができないのでしょうか. 以上となります. 様々な質問を書いてしまい,申し訳ありません 説明不足で乱文だとは思いますが, 分かる範囲でお答え頂けませんでしょうか. 宜しくお願い致します.

  • サーバーのSSL認証設定について

    SSLを設定しようとしているのですが、インストールが上手くいきません。 環境はOpenSSL + Apacheになります。 証明書は発行済でSSL証明書ファイル、中間証明書ファイル、秘密鍵ファイル は既にサーバーに保存しております。 --(example.comは適当です)----------------------- コモンネーム:www.example.com SSLサーバ証明書ファイル名     wwwexamplecom.crt 中間証明書ファイル名         inter.crt 秘密鍵ファイル名         wwwexamplecom.key SSLサーバ証明書の保存先   /etc/httpd/conf/ssl/crt/ 中間証明書の保存先     /etc/httpd/conf/ssl/crt/ 秘密鍵の保存先       /etc/httpd/conf/ssl/key/ ------------------------------------------------ スペル、保存先に間違いはないことは確認しております。 また、ssl.conf設定ファイルはありません。 サーバー amazon ec2 web server Apache ver2.2.16 【httpd.conf 記載の一部】 <VirtualHost ***.**.***.***> ServerAdmin root@**** DocumentRoot /home/aff3_0/public_html ServerName http://www​.example.com ServerAlias example.com ErrorLog logs/error_log CustomLog logs/access_log combined SSLEngine on SSLCertificateFile /etc/httpd/conf/ssl/crt/wwwexamplecom.crt SSLCACertificateFile /etc/httpd/conf/ssl/crt/inter.crt SSLCertificateKeyFile /etc/httpd/conf/ssl/key/wwwexample.key </VirtualHost> 【エラーメッセージ】 Invalid command 'SSLCertificateFile', perhaps misspelled or defined by a module not included in the server configuration この時点で止まっております。 アドバイスを頂けると有難いです。 足りない情報などがあれば追記します。 宜しくお願い致します。

  • BIG-IPのロードバランサにSSLのサーバー証明

    BIG-IPのロードバランサにSSLのサーバー証明書を登録する場合発行会社から発行された サーバー証明書(cerファイル)をCSRの生成で設定したSSL CertificatesのGeneral Propertiesに登録するのでしょうか。

  • SSLの信頼性について

    ネット販売の代金決済にSSLによる暗号化通信があります。以前に知人がクレジットカードによるSSL決済でURLのプロトコルhttpsの確認、右下タスクトレイ上に鍵マーク確認、カギマークから発行元証明書の確認もしたようです。しかし結果して悪用されたそうです。その話を聞いて私はネット上のSSLを信頼していません。下記についてご助言を頂きたいと思います。 (1)ブラウザで公開鍵で暗号化し、送信したデータが    通信経路上で秘密鍵が盗取されてデータが復元さ   れ、情報盗取されることは可能でしょうか。 (2)証明書の発行元の偽装は簡単に行えるのでしょう    か。 (3)発行元が本人(法人)であることは何で確認すれば    安全でしょうか。以上お願いいたします。

  • SSLの電子証明書を使った身元保証について

    別のカテで質問したのですが回答が得られなかったので、もう一度質問します。 知識がほとんどないまま毎日のようにインターネットを利用しているのでこれではいかんと、独学でインターネットのことについて勉強していて、度々こちらでもわからないことを教えてもらっています。 今日は、セキュリティーのことについて勉強しているところなのですが、SSLの電子証明書を使った身元保証についてわからないことがあるので教えて下さい。 ネット上で商売をしようという業者は、認証局から電子証明書を受け取り、自社のWebサーバーにインストールしておきますよね? 買い物をするとき、顧客はSSLを業者に要求し、業者は電子証明書を送信し、顧客は業者を確認し、共通鍵を作成し、業者の公開鍵で暗号化して共通鍵を送り、業者は自分の秘密鍵で複合する、わけですが、具体的にどういうことなのかわからないんです。 買い物をしようとすると、認証局から電子証明書を受け取っている業者には、錠前のマークが出るんですよね? 錠前のマークをダブルクリックすると「証明書の情報」が開きますよね? 本当は、この情報を元に、相手の身元を確認する作業というのをしなければいけないものなのでしょうか? それとも、錠前マークが出ている時点で、自動的に確認が取れているということなのでしょうか? つまり、何がわからないかと言うと、「買い物をするとき、顧客はSSLを業者に要求し、業者は電子証明書を送信し、顧客は業者を確認し、共通鍵を作成し、業者の公開鍵で暗号化して共通鍵を送り、業者は自分の秘密鍵で複合する」この流れが、具体的にネットショッピングする際のどの作業のことなのかがイメージできないんです。 解説していただけると助かります。

  • SSLについて

    クレジット情報を入力するフォームで あなたのセキュリティを守るため、SSLが機能しているか確認してください。 ・Microsoft Internet Explorerの場合にはブラウザの右下に鍵マークが表示されていることを、確認してください。 とかかれていましたが、わたしのブラウザ(ie7)には鍵マークが表示されません。 どこか問題があるのでしょうか? どうすれば良いでしょうか? ※サイトは大手サイトですので、こちらの不備に寄るものだと思います。

  • SSL証明書発行後に秘密鍵とCSRファイルを再作成すると証明書は無効に

    SSL証明書発行後に秘密鍵とCSRファイルを再作成すると証明書は無効にりますでしょうか? RapidSSLにて証明書を発行し、Plesk管理画面でサーバに証明書を作成しようとしたのですが エラー: 秘密鍵をセットすることができません:秘密鍵のフォーマットが無効である可能性があります というエラーが出てしまい作成できないため、もう一度同じ名前で秘密鍵を作成しCSRファイルを作成した上で、RapidSSLの管理画面のReissue Certificateというところから証明書を発行し直そうと考えているのですが 上記のような作り直し作業をすると、SSL証明書は無効化して購入し直さなければならなくなったりしますでしょうか? ちなみにエラーが出たときの秘密鍵は以下の通りです。 -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,B02D8998DAE4495C 8PH/+bwvnKccwqmpq4cXHiWrQLeXCLHCmvfQdptAmork8cg0e4U5IzSwUBgSL4uU ~(略) -----END RSA PRIVATE KEY-----

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する