はてなブログでSSL化する方法とお名前ドットコムのSSL証明書発行の違い

前へ 次へ
このQ&Aのポイント
  • はてなブログの設定画面で簡単にサイトをSSL化する方法があります。
  • お名前ドットコムではSSL証明書を発行することができますが、料金が年間24000円かかります。
  • SSL化(HTTPS配信)とSSL証明書発行には違いがあり、どちらを選ぶべきか迷っています。
回答を見る
  • ベストアンサー

SSL化について

はてなブログでブログを始めるのですが、ドメインをお名前ドットコムから購入し、その後、SSL証明書に関する以下のようなメールが届きました。 「これからWebサイトを開設するご予定かと思いますが、 angrysaiko.comのSSL証明書発行が確認できておりません。 今や、Webサイトの開設にSSL証明書は必須です。 以下よりかんたんにお申込みいただけますので、ご用意がまだ(※)の場合、 CSR情報をご用意のうえ、お申込みお手続きをお願いいたします。」 料金が年間で24000円だそうです。 そこで分からないのは・・・ はてなブログの設定画面で、簡単にサイトをSSL化する方法という記事を読みました。 ≪「設定」画面から「詳細設定」をクリックし、「HTTPS配信」を有効にするだけ。なんとワンクリックでSSL化が終わってしまいます(SSL化=HTTPS配信)≫ とありました。 ここ↑で言われるSSL化(HTTPS配信)と、お名前ドットコムで発行されるSSL証明書発行とではどのような違いがあるのでしょうか? どちらにすべきか、よくわかりません。

質問者が選んだベストアンサー

  • ベストアンサー
回答No.1

あなたの所有物としてのSSLは、販売されてる物になり、 無料のものは、 https://letsencrypt.org/ja/ 内部でこれを使ってるだけではないかと、中身はこういうものです。 または、ISPで用意されている共有SSLという方式です。

その他の回答 (2)

  • pooh26
  • ベストアンサー率48% (63/130)
回答No.3

はてなブログのSSL証明書はLet's Encryptが発行するSSL証明書を利用します。 お名前ドットコムで発行されるSSL証明書は利用できません。

  • asciiz
  • ベストアンサー率70% (6638/9405)
回答No.2

SSL証明書というのは、ホスト名(コンピュータ)一つ、あるいはドメイン名に対して1つ、発行されます。 そしてその証明書には期限があり、発行時費用…というか年間費用を払って発行し、期限前にまた費用を払って更新し続けなければなりません。 これは、世の中のSSL対応サイト、全てがやっていることです。 SSL化するのには、サーバ維持費用以外にSSL証明書の維持費用も必要になってしまうものなんです。 でも、はてなブログでブログを開設すると、それは「(ユーザ名).hatenablog.jp」というような、株式会社はてな管理下のドメイン名で、公開されます。(共通ドメインは5種類) この、(株)はてなが管理するドメイン用のSSL証明書5つを、(株)はてなが取得し(費用は(株)はてな持ち)、みんなで使えるようにしてくれたので、はてなブログでは「SSLを使用する」というモード変更だけで利用できるようになりました。 ただし、はてなブログでも、独自ドメイン運用をしているところには対応できない、と書いてあります。 それと一緒で、独自ドメインでSSL接続をしたいならば、SSL証明書の取得を自分でしなければなりません。 SSL証明書の発行会社はいくつもあり、値段もピンキリです。 お名前.com で発行申込みできるのは「GlobalSign社」のSSL証明書。 価格はこんな感じ。 >https://jp.globalsign.com/service/ssl/products_price/ もっと安いところもあります。 例) https://www.ssl-store.jp/ こちらだと、サーバ1台用証明書が年額1,100円~、ドメイン単位で取得できるワイルドカード証明書が年額11,220円~、だそうですね。 先程の例でいうと、(株)はてなは「*.hatenablog.jp」というワイルドカード証明書を取得しているので、はてなドメインでブログ開設している人が全員、使えるようになったと。 証明書1つで何千何万というユーザーの利便性につながるなら、そのぐらいのサービスはしましょう、ということでユーザーに負担をかけず、実現したものと思われます。 独自ドメインでSSL化したいならば、自分でSSL証明書取得費用を払い、Webサーバに設定しなければいけません。 たぶん、GlobalSign以外の証明書を使ってもいいと思うので、安いところで発行した証明書を使えるかどうか調べてみて、単なるSSL接続でいいなら安いところのを買うのでいいでしょう。 また、ワイルドカード証明書は個別証明書の10倍ぐらいが相場のようですが、いきなりそんなにサーバは立てないでしょうから、サーバ個別のSSL証明書を購入し、維持するので良いのではないでしょうか。 ---- なお、SSL証明書は、申請時の名前と、運用時Webサーバの名前が一致しなければいけません。 「sample.com」というドメインを取得して、「www.sample.com」というWebサイトを運営するなら、「www.sample.com」という名前に対して、証明書を1つ発行します。 「sample.com」用に証明書を発行してしまうと、「www.sample.com」で表示したときに「名前が違う」エラーが出てしまうので注意しといてください。 もちろんwwwなしの「sample.com」という名前でサイト運用するならば、「sample.com」用の証明書でいいのですが。 どちらの運用にするのかあらかじめ決めておく必要があります。

  1. カテゴリ
  2. インターネット・Webサービス
  3. セキュリティ対策・ネットトラブル
  4. その他(セキュリティ対策・ネットトラブル)

関連するQ&A

  • SSL証明書更新手順について

    期限切れを迫っているため、 SSL証明書の更新手順についてお伺いしたいのですが、 サーバーにあるCSRを再度そのまま利用してWEBに登録(SSL発行業者のログイン後画面) してSSL証明書を発行しても問題ないでしょうか? ご存知の方、アドバイスをお願いします。

  • BIG-IPのロードバランサにSSLのサーバー証明

    BIG-IPのロードバランサにSSLのサーバー証明書を登録する場合発行会社から発行された サーバー証明書(cerファイル)をCSRの生成で設定したSSL CertificatesのGeneral Propertiesに登録するのでしょうか。

  • HTTPS(SSL)通信とサーブレットについて

    ショッピングサイトなどで、買い物カゴに入れたあと、支払いするときにHTTPS(SSL)通信になりますが、この場合の仕組みがよくわかりません。 (1)これは、WebサーバをHTTP用とHTTPS(SSL)用の2台構成として、買い物カゴにいれるまでは、HTTP用のWebサーバでアクセスしておいて、支払いするときにHTTPS(SSL)用のWebサーバにアクセスさせることで実現してるのでしょうか? (2)ショッピングサイトを見ると、URLはHTTP://がHTTPS://に変わるだけで、サーバが変わっているようには見えませんが、これは、apacheなどのWebサーバが持つバーチャルホスト機能で実現してるのでしょうか? (3)アプリケーションを開発する側としては、HTTP通信を行うサーブレットはHTTP用のサーバに配置して、HTTPS(SSL)通信を行うサーブレットはHTTPS(SSL)用のサーバに配置しておいて、HTTPS(SSL)通信をしたいときは、HTTP用のサーバに配置したサーブレットから、HTTPS(SSL)用のサーバに配置したサーブレットを呼びだすだけでOKでしょうか? (4)また、(3)が正しい場合、サーブレットの配置さえ気にしていれば、特にHTTPS(SSL)用のプログラムを組む必要はないでしょうか? 調べたのですが、最初からHTTP(SSL)通信する場合の方法しか記載がなくて困っています。

  • SSLを導入したい

    すみません。SSLを個人のPCに導入したいのです。しかし、SSLを導入するのに必要なものや仕方が分からないのです。有料の電子証明書を発行する認証局のサイトを見て、SSLの仕組みなどを見ても、頭から?が飛び出ます。 ローカルネットワーク内で、試験的に、SSLによる暗号化が行われているかテストしたいので、証明書を個人で作成するつもりです。 環境: OS : Windows XP Professional Webサーバ : Apache 2 この環境で(OSがWindowsでいいのかはわかりませんが、「Apacheを使う」環境という意味で)、SSL暗号化処理を1から構築するために、しなくてはいけないこと、用意することや、その手順について、詳しく教えていただけたら幸いです。

  • SSLについて教えてください

    SSLプロトコルに対応したWEBサイトを作る場合 1 現在のホスティングサービスがSSLに対応していない場合   解約して、対応しているものに契約しなおさないとだめなのですか?   ベリサインなどから証明書を発行してもらえば例えばOK? 2 SSL対応ページを作る場合、HTMLに追加コードなどは必要ですか?

  • HTTPS(SSL)の仕組みとセキュリティについて

    SSLの仕組みと,そのセキュリティについての質問です. 現在,HTTPSで利用するSSLの仕組みについて勉強をしています. しかしながら, 自身がSSLの仕組みについて正しく理解できているか分かりません. また,どうしても理解ができない点が何個かあり,質問させて頂く次第になりました. (様々な書籍やwebを拝見したのですが,いづれも腑に落ちませんでした...) そのため,まず大まかに私が理解しているHTTP上のSSLの仕組みを書き,最後に質問を書かせて頂こうかと思います. 長くなりますが宜しくお願い致します. ■主な登場人物 ・認証局  CA秘密鍵  CA証明書(公開鍵?)  CA証明書発行要求  ・証明書  KEYファイル(秘密鍵/公開鍵)  CSRファイル/申請書(issuer側の情報/公開鍵)  CRTファイル/サーバー証明書(CSRを認証局の秘密鍵で捻ったモノ) ■証明書の発行 1-1.証明書を発行したい者がCSRファイルという申請書を作成し,認証局に送ります.    →CSRには登録情報(issuer)やサーバー(証明書を発行したい者)の公開鍵などが含まれます. 1-2.認証局はCSRファイルが適切であれば,署名(subject)し,認証局の秘密鍵でCSRの中の公開鍵のみを暗号化します. 1-3.これがCRTファイルになり,証明書を発行したい者に送り返されます. この時,サーバー(証明書を発行した者)は認証局によって署名されたCRTファイルを持っています. 次にこれを利用したHTTPS通信について書きます. ■HTTPS通信 2-1.クライアントがサーバーに通信要請をします. 2-2.サーバーは証明書(CRT)をクライアントに送ります. 2-3.クライアントは送られてきたCRTが信頼できるか認証局の証明書(公開鍵)を使って検証します.    →CRTに埋め込まれているサーバーの公開鍵は認証局の秘密鍵によって暗号化されているので,これを認証局の公開鍵で複合化します.    →認証局の公開鍵はルート証明書といい,事前にブラウザに組み込まれているものとします. 2-4.クライアントは共通鍵を発行します. 2-5.クライアントはCSRから複合化したサーバーの公開鍵を用い,自身で発行した共通鍵を暗号化してサーバーに送ります 2-6.サーバーは受け取った暗号データを自身の持つ秘密鍵で複合化し,共通鍵を取得します. 2-7.後はこの共通鍵でデータを暗号化し通信します, ■質問 1.オレオレ証明書+認証局の場合でも正常に通信ができるのはなぜか 私の理解だと2-3で,クライアントが認証局の公開鍵を用い,サーバーの証明書からサーバーの公開鍵を複合化し,それを元に共通鍵を暗号化しています. これはクライアントが認証局のルート証明書(公開鍵)を保有しているから複合化できるはずです. オレオレ証明書の場合は,認証局の公開鍵がクライアントにインストールされていません. そのため,サーバーの公開鍵を複合化できず,共通鍵の生成に失敗し,通信できなくなると思います. しかしながら,ブラウザは「署名が不明な接続先です」とのエラーを出すだけで,通信(接続)ができてしまいます. なぜでしょうか. 2.IssuerとSubjectは暗号化されていないのか 私の理解だと1-2の認証局では,サーバーの公開鍵しか暗号化されていません. ということはIssuerとSubjectは暗号化されていないということでしょうか. また,それはなぜでしょうか. 3.IssuerとSubjectは偽装できるか opensshを用いることで認証局を構築することができます. この時に,Subjectの設定をベリサインの認証局と全く同じようにし, 証明書も,ベリサインの認証局を使っているサイトのIssuerと全く同じようにした場合, SubjectとIssuerが全く同じ証明書ができると思います. この場合は,本物の証明書と同様の証明書を複製できてしまうのでしょうか. できないとは思いますが,それはなぜでしょうか. 4.証明書の偽装は可能か ブラウザから証明書の情報を見ることができます.もちろんbyteデータのraw certificateも見ることができます. この情報を丸々コピーし,全く異なるサーバーに証明書として読みこませて通信した場合は, 署名されてしまうのでしょうか. されないとは思いますが,それはなぜでしょうか. (例えば,URL=CN情報が異なっているから確認できるとか..?それならCN情報だけ書き換えてしまえばいい?) 5.証明書の検証をするにはどうしたらよいか 証明書を検証をするには,その証明書を発行した認証局の公開鍵を利用するしかないのでしょうか. 例えば,サーバー証明書(CRT)のフィンガープリントsha1データを事前に保持さえしていれば, サーバーに証明書を示された際にCRTのフィンガープリントを比較すれば,特定のサーバーかどうか検証できるか・・? 6.MITMについて MITM攻撃により,証明書が途中で書きかわることが考えられます. この場合は,書き換わった証明書をどのように特定すればいいのでしょうか. 例えば,認証局のルート証明書がないなどが考えられますが, 仮に,Rapid SSLなどで署名されている証明書でMITM攻撃がされた場合どうなるでしょうか? この場合は,Issuerなどを比較するしかないように考えられます. しかし,Issuerはcsr申請の際にうまいこと,書き換えることができてしまいます. そう考えると,どのような対策ができるでしょうか フィンガープリントなどで比較することになるのでしょうか, フィンガープリントは偽装することができないのでしょうか. 以上となります. 様々な質問を書いてしまい,申し訳ありません 説明不足で乱文だとは思いますが, 分かる範囲でお答え頂けませんでしょうか. 宜しくお願い致します.

  • SSLインストール後の諸設定について。

    FreeBSD5.3Rにて、Webサーバを立ち上げ、CGIを使用しています。 CGIでユーザー認証をさせようとしていますが、パケットを見るとパスワードなどがバレバレなので、 SSLにしようと思っています。 そこで、BSDにopenSSLとmod_SSLをインストールし、インストール自体は完了しました。 ですが、まだ鍵の生成?や証明書の発行???などの設定をなにもやっていないのでhttpsではアクセスできません。 そこで、その設定方法を調べていると、FQDNなどを入力する画面がありました。(国などもです。証明書関係だったと思います) 今現在、名前解決をしていないので、 「http://192.168.100.100~~」のような感じでWebサーバにアクセスしているのですが、 やはりSSLの設定よりさきにDNSサーバを立ち上げないといけないのでしょうか? また、SSLインストール後の設定方法についてさまざまなHPを見てきましたが、 サイトによって書いてあることがまちまちでどれを参考にしていいのか迷っています。 このサイトを参考にして設定したらできた!などのページがあれば是非教えてください。 お願いしますm(-_-)m

  • SSL設定について

    現在、Webサイトを作成しているのですが、その際に「https→http」へ遷移させるために、SSLの設定を行っています。環境はWindows 2000です。 下記のサイトを参考に証明書サービスでサーバー証明書を発行しようとするのですが、証明書サービスをインストールする際に『ファイルをコピーできませんでした』となりインストールできませんでした。 しかし、『コピーできませんでした』をキャンセルしていくと何故か分かりませんがインストールできました。 また、「すべてのプログラム」-「認証局」は表示されません。そもそも、「すべてのプログラム」がありません。 また、この方法だと、ファイルを保存できても、「http://localhost/certsrv/」にアクセスできません。 私のやり方がおかしいのかもしれませんが、上手くいきません。 この方法にこだわっていないので、何か他の方法でSSLの設定、証明書の発行が行えるやり方を教えてください。 http://www.atmarkit.co.jp/fwin2k/win2ktips/919selfssl5/selfssl5.html http://www.atmarkit.co.jp/fwin2k/win2ktips/920iiscert5/iiscert5.html

  • SSL証明書の種類

    SSL証明書を購入したのですが、 証明書 中間証明書 証明書+中間証明書(PKCS7形式) の3つが送られてきました。 自サーバにWebサイトを公開して、そのサイトにSSLページを設定する場合、 証明書+中間証明書(PKCS7形式) を使用するのでしょうか?

  • SSLの設定方法

    TM-T88V-iを使用してHTML5によるWebアプリを開発しております。 HTTPS(SSL)のWebサイトから、プリンターに対して直接IPアドレスを指定して印刷させようとしていますが クロスドメインの制約に為、ブラウザに『セキュリティで保護されているコンテンツのみ表示されます』メッセージが表示されてしまいます。EPSONよりプリンターのファームウェアをバージョンアップすればSSL対応しているとの事だったので、バージョンアップしましたが、今度は『セキュリティの警告』メッセージが表示され(サーバー証明書エラー?)どのようにプリンター側を設定すれば良いのか知りたいです。プリンターの環境設定→セキュリティでSSLを有効し、自己署名証明書を作成する(オレオレ証明?)にしましたが・・それだけでは駄目なのでしょうか? ブラウザはIEとChromeにてテストしています。 ※OKWaveより補足:「EPSON社製品」についての質問です。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する