- ベストアンサー
SNI証明書の通信について
t_ohtaの回答
SNIは通信方式であって証明書ではありません。 SNI用の証明書と言うモノも存在しません。 HTTPS用の証明書は通常のサーバ証明書を使用しますし、暗号カギも従来のモノと同じです。 SNIに対応したブラウザからのSSLハンドシェイクには接続を希望するホスト名が入っているので、SNIに対応したWebサーバはリクエストされたホスト名用の暗号カギを使って通信を行います。
関連するQ&A
- 単一IPアドレスによる複数SSLの設定
こんにちは。 はじめて投稿いたします。 単一IPアドレスによる、複数SSLの設定についてですが、通常はヘッダ部分が暗号化されてしまっているため、どの認証キーを使用すればよいかわからないので、単一IPアドレスによる複数SSLの設定はできないと思います。 しかし、最近SNI(Server Name Indication)という技術を知りました。 ただし、この技術はブラウザ依存があるため、XPのマシンで立ち上げたIEでは使用できないなどの問題があるようでした。 そのため、現在は複数IPアドレスを取得し、複数のSSLを設定している状況ですが、IPアドレスの払い出しには制限があるため、何か良い方法がないかと思っております。 SSLを設定しているサイトはコンシューマ向けのECサイトであるため、ブラウザの制限をかけるわけにもいきません。 もし、SNI以外の技術で解決できたり、SNIの技術+アルファでブラウザ制限をなくす技術があれば、と思い、投稿させていただきました。 OS:CentOS 5.6 Apache:2.2.3 OpenSSL:0.9.8f よろしくお願いいたします。
- ベストアンサー
- ネットワーク
- 証明書を使用した通信
今回、自社のWebサーバ(IIS7.0)のセキュリティ強度を 高める為、SSLによる暗号化通信の実装を検討しています。 その際に、第三者機関の発行による「証明書」をサーバ側に インストールさえすれば、暗号化通信は実現できるのでしょうか?。 ブラウザはIE8を想定していますが、ブラウザ側には別途証明書の インストールや、設定変更は必要でしょうか?。 ※「クライアント証明書」というキーワードも見つけたのですが、これは不要でしょうか? アドバイスを頂けると助かります。
- ベストアンサー
- ネットワーク
- httpとhttpsとSSLの違い
http は通信内容が平文でネットワークを流れる。 https は通信内容がWEBサーバとPCのブラウザ間で暗号化される。ブラウザのキャッシュが効かない。 SSL は通信内容がWEBサーバとPCのブラウザ間でSSL証明書をもって暗号化できる。httpsに追加して使える(2重に暗号化?)。httpには使えない。通信を要求するサーバが信頼できることを証明する。 と理解していますが、たぶんどれか間違っていると思います。 上記3個の違いを簡潔に教えてください。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- 暗号化通信について教えてください。
暗号化通信について教えてください。 Osccomerceを使ってオンラインストアを運営しようと思いますが、ユーザーが個人情報を登録する際にSSL通信をしたいと思っています。SSL通信をするにはOpenSSLでサーバやユーザを証明して(CAを構築?)、鍵のやりとりを行ってできるのでしょうか?OpenSSLだけで全てできるものでしょうか?よろしくお願いいたします。
- ベストアンサー
- ネットワーク
- ApacheによるバーチャルホストでのSSL通信設定
Apacheでバーチャルホスト設定を行い、1台のサーバで複数のドメインを管理しようとしています。 今は、名前ベースで設定して運用しているため、SSL通信がそれぞれのドメインに対して行えないので、色々調べてみましたが、はっきりと把握できないので、お教え願えればと思います。 1.IPベースのバーチャルホストであればそれぞれのドメインでのSSL通信が可能でしょうか? 2.IPベースの場合、基本設定などは名前ベースと異なるのでしょうか? 3.IPベースのバーチャルホストでSSL通信を行う場合、Apacheは複数起動する必要があるのでしょうか? 4.バーチャルドメインで運用する場合、各ドメイン別のサーバ証明書はどのように設定などするのでしょうか? →単独であればサーバ証明の生成はわかります。 5.上記を実現するために参考になるサイト・書籍などあればお教え下さい。 以上、長文になりましたが、何卒よろしくお願いいたします。 完全な回答でなくとも、ヒントだけでも構いませんので、よろしくお願いいたします。
- ベストアンサー
- Linux系OS
- データ通信カードでの通信と、無線LANでの通信とは何が異なるのでしょう
データ通信カードでの通信と、無線LANでの通信とは何が異なるのでしょうか? 先日ノートパソコンを中古で購入しました。 無線LANはWEPなどの暗号化が破られるなどの脅威があると聞いていたので家でも外出先でも使いたくありません。 このことを近所の電気屋さんに話したところイー・モバイルのデータ通信カードを 進められました。携帯電話と同じような仕組みで通信していると説明を受けましたが、 ほとんど理解できませんでした。 そこで質問があります。 1. データ通信カードでの通信は暗号化されていますか? 2. 暗号化されているとしたら、それは何という方式ですか? 3. それはPCで使っている無線LANとは異なるものですか? 4. データ通信カードが携帯電話と同じ仕組みで通信しているならば、携帯電話(ソフトバンク)で代用できないものでしょうか? 素人ですので、平易な言葉で説明して頂けると助かります。
- ベストアンサー
- ネットワーク
- 自己署名証明書(オレオレ証明書)の暗号化について
SSL暗号化通信の仕組み自体は,下記URLの通りとして把握しております. (1*) http://www.twsvc.com/about_ssl (2*) http://www.ibm.com/developerworks/jp/websphere/library/web/web_security/pdf/2_6.pdf これを,オレオレ証明書を用いた暗号化通信で考えると,セキュリティに関する識者である高木氏は,自分の日記にて以下のように書いています. >共通鍵暗号による暗号化通信をしています。鍵は一緒に配送します。この暗号は正常に機能しているでしょうか? >「今の話は共通鍵暗号じゃなくて公開鍵暗号だろ」って? オーケー、では、次の比較に対してどう答えるか。 >1.共通鍵暗号による暗号化通信 >2.公開鍵暗号による暗号化通信で認証なし(認証検証時の警告を無視する使用形態) >3.公開鍵暗号による暗号化通信で認証あり (略) >では、1.と 2. を比べたときはどうか。「3.ほどではないが 1.よりは 2. の方がまし」と言えるだろうか? それは誤りである。 (略) >公開鍵暗号の公開鍵がいっしょに配送されている暗号化通信では、傍受点で、流れてきた鍵を、別途用意した自作鍵に差し替えて流してしまえば、それで暗号化されて戻ってくる暗号文を復号できる。 ※詳細は,高木氏の「PKIよくある勘違い(1)「オレオレ証明書でもSSLは正常に機能する」」をご参照ください. ここで,疑問になるのが,”傍受点で、流れてきた鍵を、別途用意した自作鍵に差し替えて流してしまえばいい”という点です. オレオレ証明書では,ルート証明書にたどり着けないため,ブラウザはオレオレ認証局の公開鍵をもっていない. そのため,サーバ証明書内の公開鍵を取得できない. だから,サーバ証明書送付時にオレオレ認証局の公開鍵を送付する必要がある. オレオレ認証局の公開鍵を用いて,サーバ証明書から公開鍵を抜き出す もしこのとき,オレオレ認証局の公開鍵が自作鍵に置き換えられたとしても,ただ単にサーバ証明書から公開鍵を抜き出すことができず,そこで通信が終了すれば”それで暗号化されて戻ってくる暗号文を復号できる”ことも無いように思えるのですが,いかがでしょうか. (つまり,高木氏の言う差し替えた自作鍵でサーバ証明書内の公開鍵が取得できるかどうか) これができなければ,確かに暗号化通信(というか通信そのもの)自体は破綻していますが,高木氏の懸念しているような「重要な情報の流出」にはつながらないように思えます. 乱文になってしまいまして申し訳ありません. もし,私自身に勘違いや解釈違い等ありましたら,ご指摘いただけると幸いです. よろしくお願いします.
- ベストアンサー
- ネットワーク
- ホストとIPアドレスの関係について質問があります。IPアドレスは各PC
ホストとIPアドレスの関係について質問があります。IPアドレスは各PC一つだけだと思いますが、ホストは当然複数のユーザーが使っているのですよね。よく理解していないので頓珍漢なことを聞いているかもしれません。
- 締切済み
- その他(インターネット・Webサービス)
- 同一LAN内でホスト同士が同じIPを設定するとなぜ通信が不安定に?
同一LAN内でホスト同士が同じIPを設定するとなぜ通信が不安定になるのでしょう? 通信をする時、ホストはゲートウェイのMACを調べるために、ARPを使って調べると思います。その後、通信をする時、自分のIPアドレスとMACアドレスをパケットのヘッダに書き込むと思うのですが、その時にルータがこのパケットに対する帰り(送信元)MACを学ぶと思うので、通信できるように思ってしまうのですが・・・。 http://www.atmarkit.co.jp/fnetwork/rensai/troutol03/01.html#
- ベストアンサー
- その他(インターネット接続・通信)
お礼
ありがとうございます。 ハンドシェイクのホスト名だけは盗聴可能?
補足
HTTPSクライアントが希望するドメイン名を伝える(この部分は平文となる) とありました。理解できました