- ベストアンサー
認証局の信頼性について知りたい
- 認証局の信頼性について調べた結果、S/MIMEは送受信者のエンドツーエンドのセキュリティを提供するが、信頼できる認証局からの電子証明書が必要であることが分かった。
- 認証局の信頼性の調べ方や格付けについては、情報を見つけることができる。
- 実際の通信中に認証局の信頼性が表示されるのかは、調査中であり詳細は不明である。
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
メールとは関係ないですが参考程度に 今は無料で証明書がついてきます。 たとえば、一般的なショッピングサイトではサーバ共通の証明書を使用して HTTPS をしています。 レンタルサーバを借りると暗号化(HTTPS)も無料サービスでついてくるんです。 「SSL(サーバ証明書) 無料です」 この影響で、鍵マークが「ただの暗号化通信」と化したわけで「安全の証明」にならなくなりました。 こんなんだからフィッシング詐欺が流行したわけで・・・。 その対策として、 EV 証明書が提供されています。 金融機関たとえば、三菱東京UFJ銀行のオンラインバンキングでは HTTPS に EV 証明書が使用されているためアドレスバーがグリーンになります。 一般的なショッピングサイトではサーバ共通の証明書を使用するため、アドレスバーは既定(白色みたいな)のままです。 こことか http://www.wachaclub.com/fs/wacha/c/sweets https://c18.future-shop.jp/fs/wacha/GuestLogin.html 残念なことに EV 証明書の普及は遅れるでしょうね。審査に時間と費用がかかりますから。 それでも、オンラインバンキングが信頼できるようになっただけましです。 参考 EV 証明書 - Wikipedia http://ja.wikipedia.org/wiki/Extended_Validation_証明書
その他の回答 (2)
認証局には『格付け』という指標はありません。認証局の信頼性は 『信頼できる監査をパスしているか』で決まります。 監査には色々あるのですが、その中で最も一般的な監査は 『WebTrust(ウェブトラスト)監査』という、米国公認会計士協会と カナダ勅許会計士協会が定めた監査です。 この監査に合格しますと、Microsoft や Google が自分のとこの ブラウザに『信頼できる認証局』として設定してくれます。 監査に合格した認証局は、「シール」と呼ばれる合格証書を自分の Webページに掲げることができます。ユーザはこの「シール」が掲げ られているかで信頼性を判断します。 ※駆け足で説明しました。「WebTrust」や「シール」の詳細などは、 まずはご自分で調査してください。
お礼
いろいろ見ていたら、 一部の認証局では、(公的証明書などの)本人確認を行わずに証明書を発行するところもあります。これではサーバがSSL証明書の申請者によって運営されているという証明にはなりますが、申請者が誰であるかはわかりません。このような認証局は信頼できないものとしてリストから外しておく必要もあるかもしれません。 を見つけて心配になりましたが、 このようないい加減な認証局で、監査に合格するものはない。 ということですね。 使うほうもいろいろな証明書を毎年提出したりして面倒で手間がかかったり、 また、認証局のほうもその書類が本物かどうかを見極める作業もあり、 かなり大変ですね。 ありがとうございました。また、いろいろ調べてみます。
- jjon-com
- ベストアンサー率61% (1599/2592)
> 認証局の信頼性はどのようにして調べたらよいのでしょうか? > 認証局の信頼度の格付けはどこかで調べられるのでしょうか? http://okwave.jp/qa/q6206455.html の私の回答No.2 http://okwave.jp/qa/q4071926.html の私の回答No.1 Microsoft Windowsをお使いなら,上記の操作をおこなうことで,Microsoft社が信頼に足ると見なしたルート証明機関を20社ほど確認することができるでしょう。 これらの認証サービス事業者の中でさらに優劣の差をつけることもできるのでしょうが,そのすべてがクライアントPC基本ソフト世界シェアNo.1のMicrosoft社が信頼している認証局なのですから,十分な信頼性を有すると見なせるでしょう。 > この信頼性は、実際に通信しているときにどこかに表示されるのでしょうか? 信頼性が認められる場合(証明書が確認できる場合)は特に表示されません。 証明書の確認に問題がある場合のみ,証明書関連のエラーが表示されます。
お礼
ありがとうございます。 ゆっくり読んでみます。 調査に手抜きをしてでたらめに近い証明書を発行して、マイクロソフトから 認定取り消しになってしまうような認証局はない。 ということでよろしいでしょうか? 激安を売り物にしている証明書の宣伝を見たりすると心配になります。 会社や人間に対する証明書の内容が正しいかどうかの調査にも人手とお金がかかるとおもいます。
お礼
貴重な情報ありがとうございます。 証明書が保障する内容が正しいかどうかは判断が難しいと思いました。 年金詐欺で、死んだ人が生きているようにうそをついていた事件を考えると、 その家の人が死んだ人に成りすまして、証明書を入手してしまう可能性もあるような気がしてきました。 その人が、ほんとに生きているかどうかの調査は難しそうです。 どんな調査をして、存在を確認しているかさらに調べてみます。 ありがとうございました。