• ベストアンサー
  • すぐに回答を!

「SSLプロトコルの検査機能」の安全性について

Q1.「ESET Smart Security8」の設定で「SSLプロトコルを常に検査する」をONにするとブラウザのURL欄の鍵印をクリックしてサーバ証明書を確認すると、発行者が「ESET SSL Filter CA」となっていますが、これは、Superfishの様に、勝手にサーバ証明書を発行していると云う事ですか? ESET社が正規の認証局であっても、アプリで都度、サーバ証明書を発行するのは、Superfishi行為と云えるのでは? 一方、「SSLプロトコルを検査しない」をONにすると、オルジナルの正規の「VeriSign社のサーバ証明書」が表示されます。 Q2.「ESET Smart Security8」の仕様では、「SSLプロトコルを常に検査する」場合は、検査対象の「サーバ証明書」は使用出来ないので、代替としてESET社の「サーバ証明書」を使用すると云う事ですか? この仕様が非常に判り難く、納得がいかないのですが? 検査対象の「サーバ証明書」が検査OKであれば、何故、オリジナル原本の「サーバ証明書」が使用出来ないのですか? そもそも、ESET社の「サーバ証明書」は、当該サーバの安全性を保証・認証するものではないですよね? あたかも、Superfishの様に、勝手にアプリ用の「サーバ証明書」を都度、発行して、オリジナル原本の「サーバ証明書」に上書きしている様にしか見えませんが? Q3.Superfishの様に、「ESET Smart Security8」のESET社製「サーバ証明書」が、クラッカー犯罪者に抜き取られて、SSL通信が傍受・漏洩していると云う危険性はないのでしょうか? 本件の安全性を立証するバックデータで説明頂けると助かります。 Q4.「SSLプロトコルを常に検査する」機能は、クラッカー犯罪者がSSLプロトコルでマルウェアをダウンロードさせる様な行為を防御する為ですよね? この機能をOFFにすると「SSL通信では、一切、防御機能は働かずに、マルウェア等の被害を受けるリスクがある」と云う事ですか? それとも、この機能は、「サーバ証明書」の真偽だけをチェックしているだけですか? ※OKWaveより補足:「ESETセキュリティ ソフトウェア シリーズ」についての質問です。

共感・応援の気持ちを伝えよう!

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.1

> Q1 原理としては同じでしょうね。 中間者攻撃の要領でSSL通信に割り込むことで SSL通信の内容をチェックすることが可能になります。 > Q2 > 何故、オリジナル原本の「サーバ証明書」が使用出来ないのですか? まずSSL通信の内容を見ることは通常はできません。 そのため内容を見るためには中間者攻撃のような方法が必要になります。 中間者攻撃を簡単に説明すると、通常は  [サーバー:証明書Aで暗号化]→[ブラウザ:証明書Aで復号] のような暗号化通信をしているところに割り込んで、  [サーバー:証明書Aで暗号化]→[ESET:証明書Aで復号して、証明書Bで暗号化]→[ブラウザ:証明書Bで復号] のようにいったん暗号化を解除してからもう一度暗号化する手法のことです。 この再暗号化の時に、「サーバ証明書(A)」を使うことはできません。 それができるのは本来のサーバーだけだからです。 これが、「サーバ証明書」を使うことができない理由です。 > ESET社の「サーバ証明書」は、当該サーバの安全性を保証・認証するものではないですよね? 前述の通り、SSL通信に割り込んだことで、本来の証明書がESETの証明書で隠されてしまいます。 このため、本来の証明書の検証はESET側に一任されることになりますが、 この点を問題にする(ESETの検証が信用できない)のであれば この機能は使わないという選択をすることになります。 > Q3 Superfishは全てのPCで共通の鍵を使っていたのがとくに問題でした。 ESETはさすがにばらばらの鍵を使っているのではないかと思いますが・・・。 確認方法としては、2台PCがあるなら、PC間で証明書の鍵が違っていることを確認すれば実際にどうなのかは分かります。 あとは、ESETのサポートに聞いてみたら教えてくれるかもしれません。 また、仮に鍵がばらばらだったとしても、あなたのPC内に保存されている暗号鍵を盗まれると問題になります。 ただ、PC内の暗号鍵が盗まれたということは PC内の全てのデータに自由にアクセスできてしまうようなとんでもない事態が起こって盗まれたことになるので、 もう暗号鍵どころの話ではなくなってしまいますね。 > この機能をOFFにすると > 「SSL通信では、一切、防御機能は働かずに、マルウェア等の被害を受けるリスクがある」と云う事ですか? OFFだとSSL通信の内容を見ることはできないので、 SSL通信の内容に基づくチェックは一切働かなくなりますね。 ただ、SSL通信でファイルをダウンロードして保存した場合、 保存したファイルについてはSSL通信とはもはや関係ないので 保存ファイルに対してはチェックが働くはずです。 なお、SSL通信の内容をチェックするには、 前述したような中間者攻撃の手法を使うしかないため、 「SSL通信もチェックできる」と謳っているセキュリティソフト・フィルタリングソフトは、みな同じようなことをしているはずです。 そのため、「SSL通信のチェック」はユーザーがそのソフトを信頼して証明書を使うことに了解して始めて成り立つことになります。 (ここで「信頼」や「了解」を飛ばしてしまうとSuperfishのような問題になります。) 例えばKaspersky Internet Securityが同じやり方を使っているようです。 ↓参照 "暗号化された接続をスキャン"が有効の場合に、一部の銀行の Web ページやWebサイトの閲覧ができません。どうしたらよいでしょうか? http://support.kaspersky.co.jp/9498

共感・感謝の気持ちを伝えよう!

質問者からのお礼

Thanks for your kindness. I understand that the technic of man-in-the-middle attack(MITM) is used for the SSL-Check. I am afraid of the abuse of above technic. ・・・ 「泥棒の物を泥棒する」や「スリの物を擦る」のは合法か? ではなくて、「他人の鍵の掛かった金庫を泥棒やスリの手口でこじ開けるのは合法か?」ですね? 「何でも開く万能鍵を盗まれると大変!」 って事ですよね? Kasperuskyは「いやならこの機能は使うな。銀行等の本来の電子証明書を都度確認する方がベターである」と明記していますね。これが結論ですね? セキュリティソフトを使い倒すと極限リスクを背負い込むと云う矛盾は何とかなりませんかね? 究極の認証アリゴリズムはありませんかね?・・・回答頂き多謝。

関連するQ&A

  • SSLについて教えてください

    SSLプロトコルに対応したWEBサイトを作る場合 1 現在のホスティングサービスがSSLに対応していない場合   解約して、対応しているものに契約しなおさないとだめなのですか?   ベリサインなどから証明書を発行してもらえば例えばOK? 2 SSL対応ページを作る場合、HTMLに追加コードなどは必要ですか?

  • SSLで独自CAを設置した場合

    IEでブラウジングしていると、ときどき「このセキュリティ証明書は 問題があります」や「このセキュリティ証明書は信頼できる会社から 発行されていません。続行しますか?」などという表示がでます。 今後、自前のサーバをSSLにしたいのですが、ユーザを不安にさせる ので上記のような表示がでないようにしたいと思っています。 独自CAを自前で設置すれば解決しますでしょうか? SSLの動作についてまだ理解していなく、どうかお教えください。

  • SSLについてセキュティ証明書の発行

    ホームページでアンケートフォームを作っています。 セキュリティ証明書を入手するのにお金がかかるので購入は 避けたいのですが、お金がかからずにSSLをかける方法はあるでしょうか。 また、セキュリティ証明書を発行せずに、SSL領域( https)の領域内で暗号化などのセキュリティをかける方法はありますでしょうか。 よろしくお願いします。m(_ _)m

  • SSL証明書更新手順について

    期限切れを迫っているため、 SSL証明書の更新手順についてお伺いしたいのですが、 サーバーにあるCSRを再度そのまま利用してWEBに登録(SSL発行業者のログイン後画面) してSSL証明書を発行しても問題ないでしょうか? ご存知の方、アドバイスをお願いします。

  • ssl接続エラー…

    これまでこのような表示が出たことがなく、どうしていいのかわからないため、知恵を御貸しください。 インターネットに繋ごうとしたところ、 Ssl接続エラー サーバーとの安全な接続を確立出来ません。 サーバー側に問題があるか、サーバーが必要とするクライアント認証証明書を所持していない可能性があります。 エラーコード:ERR_PROTOCOL_ERROR と表示されます。 プロバイダはGoogleCrome セキュリティソフトとしてフリーソフトのアバストをインストールしています。 自分なりにスマホで調べてみましたが改善が出来なかったので… よろしくお願いいたします。

  • ESETのプロトコルフィルタリングについて

    ESET Smart Securityを使っていますが、詳細設定でパーソナルファイアーフォールのプロトコルフィルタリング(アプリケーションプロトコルフィルタリングを有効にする)を無効にすることによってどのようなリスクが高くなるのでしょうか? というのも、これを有効にすると下りの速度が著しく低下してしまうからです(11Mbpsから5Mbpsになってしまう)。 これを無効にしたままで、なにか代価策みたいなものはないものでしょうか?そもそも、アプリケーションプロトコルフィルタリングとはどういった機能なのでしょうか。

  • BIG-IPのロードバランサにSSLのサーバー証明

    BIG-IPのロードバランサにSSLのサーバー証明書を登録する場合発行会社から発行された サーバー証明書(cerファイル)をCSRの生成で設定したSSL CertificatesのGeneral Propertiesに登録するのでしょうか。

  • SSLの信頼性について

    ネット販売の代金決済にSSLによる暗号化通信があります。以前に知人がクレジットカードによるSSL決済でURLのプロトコルhttpsの確認、右下タスクトレイ上に鍵マーク確認、カギマークから発行元証明書の確認もしたようです。しかし結果して悪用されたそうです。その話を聞いて私はネット上のSSLを信頼していません。下記についてご助言を頂きたいと思います。 (1)ブラウザで公開鍵で暗号化し、送信したデータが    通信経路上で秘密鍵が盗取されてデータが復元さ   れ、情報盗取されることは可能でしょうか。 (2)証明書の発行元の偽装は簡単に行えるのでしょう    か。 (3)発行元が本人(法人)であることは何で確認すれば    安全でしょうか。以上お願いいたします。

  • 安全なページでしょうか?ネットで勉強会の申し込み

    インターネットのページからある勉強会への申し込みをしたいのですが、 申し込みフォームを開こうとすると、 「この Web サイトで提示されたセキュリティ証明書は、 信頼された証明機関から発行されたものではありません」という警告のページが出ます。 しかし、ネット上には 「SSL機能(暗号化通信によ るプライバシー保護)ですが「登録証明書」は 当会独自のものを利用していませんが、大丈夫です」というようなことが書かれています。 わたしはパソコンに疎いのでよく意味がわかりません。 SSL機能のセキュリティ証明書とは何ですか? またこのページは開いても安全なのでしょうか? どなたか教えてください。稚拙な質問ですみません。

  • 独自SSLが使えるサーバにするか共有SSLにするか

    わざわざ高い独自ドメインのSSL証明書をお金を出して取得し、独自SSLが使えるレンタルサーバを借りるべきか、SSL証明書は取得せず、共有SSLが使えるレンタルサーバを借りるか迷っています。 はっきりいってお客様サイトの信頼度の問題だというのは分かっています。 しかしお客様の予算がほとんどないことを前提にした質問で、ちょっとした小さな美容室さんや、飲食店さんなどが対象のお客様です。 独自SSLが使えるレンタルサーバは月額5000円以上もするようで、そうでなくともSSL証明書自体の取得にお金が別途かかることも考えるとちょっとしたホームページの制作をやっている業者さんは お客様が毎月負担するレンタルサーバ(SSLにかける費用)などはいかがなものでしょうか? 私としては月額525円~1000円を考えています。(月額5000以上も出してサイトを運用しようと考えてくれるお客様層ではないので困っています) なお、サイトでSSLが必要なのは、お問合せフォーム(個人情報)やログイン認証(PHPのPEAR)くらいです。 よほどお客様の予算がなければ、SSL無しのお問合せフォームでも考えようかまで思っています。 独自ドメインでの共有SSLが使えるらしい「さくらレンタルサーバ(月額500円)」を考えましたが、 共有SSLだとURLが (1)https://secureNNN.sakura.ne.jp/独自ドメイン/ (2)https://初期ドメイン/ の(1)か(2)のいずれかになってしまい アドレス的に格好悪いのと、(1)だとセキュリティ的にも問題があるようです。 【求めているレンタルサーバ機能・条件】 ・WEB、メール共用で20GB程度はあるサーバ ・PHPが使える ・Perlが使える ・MySQLが使える(データベースは20個以上可能なもの) ・マルチドメイン可(独自ドメイン10個以上設定可能) ・1つの独自ドメインに対しサブドメインを10個以上設定できるもの ・1つの独自ドメインに対しメールアドレス無制限。 ・さくらレンタルサーバ(スタンダードプラン) ★できれば独自ドメインでの独自SSLが使いたい 【検討中のレンタルサーバ・問題点】 ・ロリポップ(チカッパプラン 初期費用1575円+月額525円) ★独自ドメインでの共有SSL利用不可 ・さくらサーバ(スタンダードプラン 初期費用1000円+月額500円) ★独自ドメインでの共有SSL通信可 但し、https://独自ドメイン名とはならならず https://secureNNN.sakura.ne.jp/独自ドメイン/ か https://初期ドメイン/ となる。 長々とすみません。 ご教授のほどよろしくお願い致します。