• 締切済み

ルート証明書はなぜ信頼できるのか・・・

タイトルの通り、なぜルート証明書は信頼できるのでしょう? 教えてください。 よろしければ以下の認証局についての質問についても教えていただけたら幸いです。 認証局って、たとえば財務省とか、そういった類の機関なのでしょうか・・・?

みんなの回答

  • Hoyat
  • ベストアンサー率52% (4897/9300)
回答No.1

「ルート証明書」は実生活における「印鑑」と同じようにユーザーが必要に応じて入れる(入手する)ことが出来ます(その気になれば自分で作ることも出来ます、まぁやっても「自分が認証する必要」がない限り意味が無いですけどね)。 ただ「印鑑証明登録」をした「実印」の様に「実効のある」ルート証明書は「実績ある認証機関(認証局)」によって発行されたものになります。 認証局に関しては「認証の際に使われるルート証明書」の種類によって発行する認証局が異なります、民間企業もありますし公的機関もあります。ですので、一概に「こうです」とは言えません。

全文を見る
すると、全ての回答が全文表示されます。
  1. カテゴリ
  2. インターネット・Webサービス
  3. その他(インターネット・Webサービス)

関連するQ&A

  • PKIのルートCAはどこを信頼すればいいか。

    こんにちは。 PKIについて、詳しく調べたところ、ルート証明書の偽装。もしくは管理に問題のあるルート証明書(一般企業の証明書等)を入れることの問題性について理解しました。 そのため、ルートCAを入れ直したいのですが、IEのルートCAを見ると数多くの証明機関がルートCAとして登録してありました。 それ故に、どこを信頼して良いものか、検索を掛けてもよく分かりません。 有名な証明機関はお互いに証明し合ってると聞いたことがあるので、まずどこを信頼すればいいのか、教えていただけますか?

  • 信頼されたルート証明機関の期限切れ

    WINDOWSxpを使用しています。インターネットオプションのコンテンツ、証明書のタブの信頼されたルート証明機関の証明書の有効期限が切れていますが、この証明書の意味はあるのでしょうか。切れてもそのままでインターネットする時に差し支えないでしょうか? 有効期限切れの証明書は、 GTE CyberTrust Root.cer と NO LIABILITY ACCE.cer です。 二つともファイルの種類がセキュリティ証明書と書いているので心配です。

  • 期限の切れた証明書について

    SSLのサーバ証明書について、信頼されて無い証明機関によって認証されている場合 クライアント(大抵ブラウザになると思います。)は証明機関の電子署名が正当なものか 検証出来ない為、こういった運用をしているサイトは脆弱性のあるサイトであると 言えると思います。 ここで質問ですが、 信頼された証明機関によって認証されているが、有効期限が切れているサイトは 脆弱性があるサイトであると言えるのでしょうか? 有効期限が切れていようと信頼された証明機関によって認証はされている訳ですし、 ブラウザでも ・信頼されて無い証明機関によって認証されている場合 ・信頼されている証明機関によって認証されているが有効期限切れの場合 は別箇のエラーが表示される為ユーザはこの二つを区別出来ます。 とあるサイトが有効期限切れのまま運用されているのですが、脆弱性が無い様なら 放置しても良いかなと思いますし、脆弱性が有る様なら担当者に連絡するべきかなと 思っています。 高木浩光さんの日記など見てみたんですが、ちょっと判断がつきませんでしたので ご教示頂ければと思います。

  • ssl サーバ証明書について

    はじめまして 標記の件につきまして、ご教示願います。 以下のURLの解説において、 http://itpro.nikkeibp.co.jp/article/COLUMN/20071012/284426/ クライアントには,「サーバー証明書」と「ルート認証局の自己証明書」が一緒に送られてくる。パソコンの中にもともと入っている証明書を使ってルート認証局の自己証明書の正当性をチェックし,その後,サーバー証明書の正当性をチェックする。という記述のなかで、 パソコンの中にもともと入っている証明書を使ってルート認証局の自己証明書の正当性をチェック すると記載しておりますが、サーバから送られてくる「ルート証明局の自己証明書」とクライアント側 にもともと入っている証明書を使って正当性はどのようにチェックしているのでしょうか? 宜しくお願いいたします。

  • Tomcatでのroot証明書について

    いつも参考にさせていただいています。 Verisign等の証明書発行期間から証明書を発行して もらわずに、httpsの認証をさせるために、root認証局での証明書発行を実施しようとしています。 Webサーバにはtomcatを使用しています。 CAの構築と、CAが証明した証明書(private CA)、cacert.der、 .keystoreの作成はできるのですが、サーバのどこに 保存すればよいのかが分かりません。 現状、httpsアクセスすると、.keystoreをサーバから ダウンロードするのですが、これをCAの署名のある サーバ証明書と秘密鍵をダウンロードできるようにしたいと考えています。 tomcatでのファイルの配置方法を御教授いただけないでしょうか。

  • オレオレクロスルート証明書の作成方法

    ベリサインを使わずにオレオレでクロスルート証明書を作成したいと考えております。 構成としてはこんな感じのものを作りたいです。 【構成イメージ】 Root認証局(1)(2048bit オレオレ)              Root認証局(2)(1024bit、オレオレ) ↓                                     ↓ ↓                                     ↓ 中間認証局(Root認証局(1)&クロスルートで署名)←←クロスルート証明書(Root認証局(2)で署名) ↓ ↓ サーバ(中間認証局で署名) 【困ってるところ】 中間認証局の署名がRoot認証局(1)かクロスルートのどちらかしか出来ないから、 片方のルートしかチェーンできません。 ベリサインがどうやってクロスルートを実現しているのでしょうか。 また、opensslで作成する時はどうすればよのでしょうか? もし、こうやればできる、というやり方をご存じの方がおりましたら教えていただきたく思います。

  • 認証局の信頼性

    いろいろ教えていただいて、安全な通信について調べはじめました。 S/MIMEは安全なのかと思って調べていたら、次のようなものを見つけました。 S/MIME は、メールの送受信者におけるエンドツーエンドのセキュリティを 提供するものであるが、送受信者が利用可能なPKI 環境の存在が活用の前提と なる。送信者はS/MIME を利用するために、信頼できる電子認証局から発行さ れた電子証明書を、事前に所有している必要がある。S/MIME の信頼性は証明 書を発行した認証局の信頼性に依存しており、不特定多数との信頼性の高いメ ール送受信を行ないたい場合に向いている。 認証局の信頼性はどのようにして調べたらよいのでしょうか? 認証局の信頼度の格付け、AAA,Aaa,BBBとかはどこかで調べられるのでしょうか? この信頼性は、実際に通信しているときにどこかに表示されるのでしょうか? 調べ始めたばかりで、へんな質問かもしれませんが、よろしくお願いします。

  • 証明書の署名の置き換えについて

    SonicWALLのDPI-SSLは、恐らく中間者攻撃 (man-in-the-middle attack、MITM)の技術を利用しているため、HTTPSサーバーとの通信をSonicWALLが中間者となってHTTPSの通信のパケットを見てウイルスに感染していないかをDPIエンジンでチェックしていると思われます。 SonicWALLの説明として"オリジナル証明書の署名承認局を置き換えます。"がありますが、第三者証明機関(ベリサイン等)から署名されている証明書の署名を書き換えることができるととらえることができます。 理解できない点として、第三者証明機関が署名した証明書の認証局の情報を書き換えられるという説明が分かりません。 ---------------------------------------------------------------------------------------------------------------------- 証明書再署名の認可 この証明書は、認可局の証明書がファイアウォールに信頼されている場合に限り、 オリジナル証明書の署名承認局を置き換えます。 認可局が信頼されていない場合、証明書は自己署名されます。 証明書のエラーを防ぐためには、DPI-SSL に保護されている機器によって信頼された 証明書を指定してください。 http://tz210j.demo.sonicwall.com/sslSpyConfigure.html ---------------------------------------------------------------------------------------------------------------------- お手数をおかけしますが、この点についてご存知でしたらご教示頂けますようお願い致します。 <確認させていただきたい点> 1.証明書は01DCDC・・・のようになっていますが、その証明書を署名している認証局部分がどこに入っているかわかるのでしょうか。 2.証明書を署名している認証局の部分が分かる場合、証明書にある拇印の部分がそうでしょうか。もしそうだとした場合、証明書の 01DCDC・・・の中にそのまま拇印が入っているということでしょうか。

  • ルート証明書とは

    別のところで質問したのですが、回答ではなく、自分で調べろという書き込みがあったので、締め切りこちらで質問します。そちらでの回答は、それ一件でした。 質問です。 ルート証明書とはなんでしょうか? ルート証明書は、そのドメインが正しい所有者のものかを調べるものですか? 誰かが他人のドメインを語っていないかを証明するものですか? もしそうなら、それはDNSでIPアドレスをドメインに変換するときに使うものですか? nslookupと何か関係がありますか?

  •  PKIについて、

     PKIについて、 http://www.atmarkit.co.jp/fsecurity/special/02fi … の記載で、これまでの理解と一見異なると思われる事項があります。  まず 「認証局用のソフトウェアさえ購入すれば、だれでも証明書を発行できる」とありますが、 認証局は階層型の認証構造をしているのが一般的であることとの関係は、 どう理解したらよいのでしょうか? そもそも、認証局を(一般に)誰が運営しているのか(特に、ルート証明機関)ということも気になります。 リポジトリとの関係もわかりません。。  また、「(証明書は、)信頼できる認証局が発行したことさえ確認できれば    (正確には期限などの確認も必要だが)、入手経路がどうであれ、その証明書は信頼できる」とあります。 ここでいう証明書は、クライアントがデータのやりとりをしたいサーバが発行する、 認証局によって暗号化されたサーバ証明書ではなく、 当該暗号化を行っている認証局が発行する暗号化のための公開鍵であると思われますが、 その場合、当該公開鍵(3行前の「ここでいう証明書」)の発行元は、認証局から発行される(又は発行されたものをローカルに保存してある)わけで、 どこかを経由して入手するものではないと思われるのですが、いかがでしょうか?  よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する