【認証局】SSLに関するスレ 2枚目【ぼろ儲け】
認証局がぼったくりやってるからSSLが普及しないんだと思う。
わざわざブラウザが変なメッセージ出すようになったかと思えば、今度はアドレスバーを緑だと?
安いクイック認証SSLさえ排除するつもりか。 >>103
アンチウイルスとウイルスの関係みたいなもんだよ。
要はマッチポンプ。 >>100
StartSSL使えば最近は問題ないよ
携帯は駄目だが StartSSLでやってみたけど、もしかしたら失敗したかも。
3回目のメールは来るのかな?
ログインできなくって、認証されたかどうか分からない。 やり直したら成功しました。
でも、サブドメインだから、validationできなかったw >>96
GeoTrustのEV証明書安くてよさそうだけど、海外のリセラーでも手続は
問題ない?DUNSナンバーは少しお金を払えば取れるみたいだけど。 >>108
発行手順自体は日本も海外も変わりはないから大丈夫と言いたいところだけど、肝は何か問題があった時に
自力で対応できるかどうかかな。海外のリセラーって、ただ買えるってだけで実務を代行してくれたりする
わけじゃないからね。
>>109
dクス。
うちは日本語の書類わからないから、全部翻訳して証明つけてくれ、
などと言われたら安い意味がないじゃん、と思って。
$150/yrくらいで緑になるなら(・∀・)カコイイ!!ので前向きに考えます。 もう少しぐぐってみたよ。
http://www.webcosmoforums.com/vouchers/32779-promo-codes-ev-ssl-certificates-starting-112-50-yr-sslrenewals-com.html
2年で$223
2年で$225
sslmatrix.com 1年$120
matrixってところ、SSL証明書を売るビジネスなのにろくに連絡先も
書いてないし、ここは遠慮したいな。renewalsはよさそう。 thesslstore.com
rapidsslonline.com
sslrenewals.com
comodosslstore.com
の4つ(少なくとも)はフロリダ州セントピーターズバーグ(タンパの近く)
のRapid Web Services, LLCの運営だね。こういうビジネスモデルは
よく見かけるけど、サイトをたくさん作ると売上が増えるのかな。
メインはthesslstoreらしい。 >>112
いくつか比較して選ぶ
その比較が全部自社の手の内なら…… >>113
なるほどそういうことか。
ところでthesslstoreにメールしたら、EVの確認ができなくて証明書が
発行できなければ、またはその他どんな理由でも全額返金するって。 行けおやじ.comなら、EV証明書は$99だけど…2年で$150 すまん。よく見たら、US, Canada & UK onlyって書いてあった >>116
翻訳が不要なおいしい部分だけ商売にしてるのか。 自分の場合だけど、今年の半ばくらいまで、サイトシールがなんのために
あるのか知らなかった。飾りだと思ってた。
認証局の意味を知らなかった。
海外サイトでソートやジオトラストのサイトシールもときどき見たけど、
あれはファッションで、証明書を発行しているのはベリサインだと
思ってた(今は子会社になっちゃったけど)。
そのうちアドレスバーが緑になるサイトをときどき見るようになって
カッコイイと思った。
普通の利用者なんてそんなものじゃないかと。 >>118
一般的にはそんなものだと思う。SSLもよくわかってないんじゃないかなと。ただ、緑色だから安全なのかな程度の認識はあると思う。
そのうち、対外的には緑色にならないところは警戒されるようになったりするのかね。 板違いなんだけど、国内のレンタルサーバーで、自分が持ってる証明書を
インスコできるところで安いところってどこがあるのかな? それ、証明書だけでなく秘密鍵も向こうに渡すことになるんだけどわかってる?
レンサバ屋の立場からしても、「パスフレーズつきの鍵よこすなクソ客め」てなことが
頻発するのはうれしくないので、対応してるところはまずないと思う。
自分が root になって管理するようなところなら別だが。
>>121
なるほど、わかってなかったd
先週契約した海外鯖だと画面から自動インスコ可能。
またはサポートに連絡すれば無効でインスコしてくれる。
サポートサイトも充実してるし、そういうところは大手はいいな。 >>122
Pleskが確か証明書/秘密鍵の自動インスコに対応してたよね。
cPanelは、WHMからインストールなのでサポートにお願いしなくちゃならないけど。 StartSSLを申し込んでみました。
開発中のサイトは
http://hogestore.com
がトップページなんだけど、StartSSLだとサブドメインをつけないと
いけないっぽい。無難にsecure.hogestore.comにしておいたけど、
よく調べたらsecure.hogestore.comに専用IPアドレスをもらって、
さらにサブドメイン間でのデータ受渡が必要になるのね。
なんだか面倒そうなので、FreeSSLでhogestore.comの30日有効の
証明書をもらってインスコしてみました。
ちゃんとhttpsになってちょっと感動。 >>124
勘違いでした。
StartSSL.comからは
hogestore.com
secure.hogestore.com
の2つのドメインに有効な証明書をもらっていました。
こっちの証明書に入れ替えてもちゃんと動作しました。
クライアント証明書がないとログインできないのがわかってなくて、
保存してなくてログインできなくなりました。まあいいか。 >>125
サーバー証明書はQuickSSLもそうだからワイルドカード証明書以外は何処もそうじゃない?
コモンネームで取った証明書を見るとサブネームとしてドメインネームもあるから
ドメインネームだけのWeb証明書やメル鯖のSSL認証としても使えたりするよね。
で、sslとか単にsとか短いサブドメインに変えたくなるんですよね。 amazon.co.jpは、
トップページ www.amazon.co.jp
SSL https://www.amazon.co.jp
だなあ。
SSL不要のページにhttpsでアクセスすると勝手に外れる。
逆にSSLがつくべきページだと勝手につく。
これってサーバ変数とかを使ってリダイレクトすればいいのかな。 >>119
そのうち、アドレスバーが緑色にならないサイトは、
「このサイトは運営者の実在が確認できていないので超危険ですが、
それでも自己責任で継続しますか?」
のダイアログが表示される機能が搭載されるに1票。 >>129
EV証明書は実在確認だけじゃないんだけど…実在しておりなおかつ現に事業を営んでいることが証明された法人であることが
取得条件なので、個人が置いてきぼりを食らうような機能は認証局が認めないと思う。 2002の「アルゼンチンvsイングランド」と「決勝」を朝鮮総連を騙し、観戦した少頭劣一族のアミ…立て籠り犯 朝鮮総連 少頭劣一族の真の最終目的は 徳川の財産を全て奪い
日本の芸能人を多数 中国へ拉致し、
あちらで更に監禁し働かせ
自分達家族は優雅に国に土地を買い
自分達の国にし遊んで暮らすつもりだった。
日本の芸能人を色々な奴隷にすると言っていた。日本列島は棄てる。
中国へ帰る家族のみが立て籠り犯だ。
次に狙うのはイタリアだったらしい。
おまぬ〜!
フィリピンの范蘭と西太后の所からモンゴルに逃げた『シバ』の子達だ。 >>132
そのURLに対してしか証明力がないのでそれは問題ないかと。 wildcard SSLに興味があります。
ここで紹介されているサイトを巡った結果、wildcard sslはだいたい120ドル/年前後のようです。
しかしここに
ttp://garrisonhost.com/ssl.htm
AlphaSSLというのが45ドルでwildcardを取れるらしいです。
しかしAlphaSSLというのは聞いたことがありません。
ご存知の方がいたら、評判とか信頼性とか気をつけるべき点を教えて下さい。
>>134
GlobalSign つまり、GMOグループの安売り証明書ですね。GeoTrust と RapidSSL の関係と同じ。
暗号化さえできればいいけど、オレオレ証明書はイヤ、という向きには問題ないんじゃないでしょうか。 >>135
ありがとうございます。
ためしに「Order Wildcard」(購入) ボタンを押したら、へんなページが表示されて購入できなさそう。
今回はやめときます。
さらに調べると、startssl.comではwildcardが2年で$59.90だそうです。
http://www.startssl.com/?app=39
* Wild cards (*.domain.com)
* Multiple domains (DNS Alt Names)
* ....
* Certificates 2 Years valid (730 days)
ケータイ対応が必要ないなら、wildcardではここがいちばん安いのかな。
だれか使ってみた人いませんか。評判を聞きたいです。
ぐぐっても、freeバージョンの情報しかでてこない。 >>136
使ってる。昔は、IE(というか、Windows)に対応してないとか不備があったけど、今は問題ない。
提出書類も、免許証(または写真付きの住基カード)とパスポートがあればOK。
申し込んだら本人確認の電話がかかってくるけど、本人が申し込んだのか、住所や名前は正しいかを聞かれるくらい。
一度認証をクリアすると、2年間有効のワイルドカード証明書を350日間作り放題なので、ホント安いです。
それと、実在証明付きになるので、そのへんの安証明書よりは万倍ましかも。サイトシールはちょっとださいですがw この世からipv4が消え去って
ipv6ばかりになれば、認証局という仕組みは無くなりますか? >>138
認証局が何を認証しているかよく考えれば、IPv6になったらなくなるかもという考えは浮かばなくなります。 >>137
StartSSLってその値段でワイルドカードで本人確認するの?
すごいな。 >>137
ありがとうございます!参考になります。
> 申し込んだら本人確認の電話がかかってくるけど、本人が申し込んだのか、住所や名前は正しいかを聞かれるくらい。
これって英語ですか?
> 一度認証をクリアすると、2年間有効のワイルドカード証明書を350日間作り放題なので、ホント安いです。
ここでいう「認証」って、個人のことですよね。ドメインの認証はまた別個に行うということでしょうか。
また複数のドメインに対してワイルドカード証明書がほしいんですが、その場合、ドメインごとに料金がかかりますか?
>実在証明付きになる
証明書に個人名が載ったりするんでしょうか。もしそうならちょっとやだなあ。
>>141
英語です。が、相手もわかっててゆっくり喋ってくれるのであんまり心配はいらないですよ。:)
>ここでいう「認証」って、個人のことですよね。ドメインの認証はまた別個に行うということでしょうか。
ドメインの認証は個人認証が通った後にまたドメイン個別に行います。費用は個人認証にかかるだけで、ドメインの認証、証明書の作成は無料です。
>証明書に個人名が載ったりするんでしょうか。もしそうならちょっとやだなあ。
いや、そりゃ証明書なんで。^^; むしろどこの何者が運営しているかわからないドメイン証明書の方が問題ではないかと。
氏名と都道府県、市区町村までの住所が証明書に記載されます。 >>142
うおー超参考になります。感謝!
> いや、そりゃ証明書なんで。^^; むしろどこの何者が運営しているかわからないドメイン証明書の方が問題ではないかと。
ですよねー。
> 氏名と都道府県、市区町村までの住所が証明書に記載されます。
仕方ないとはいえ、実名と住所がさらされるのは気が引けますね。
whoisでの代行登録みたいなのができればいいんですが。
要はドメイン認証の安いワイルドカードがあればいいんじゃないの? >>144
はい、その通りです。
Comodoのwildcardがドメイン認証で、これだとドメインごとにだいたい$99/yearします。
この値段なら払えないこともないんですが、
startsslのほうは2年で$59、かつ142さん情報だとドメインが複数あっても同じ値段なので、
やっぱりstartsslに惹かれますよね。
Alpha の $45ワイルドカード証明書だけど、GarisonHost のリンクが更新されてないだけみたい。
↓から購入できそうではあるけど。
ttps://my.garrisonhost.com/cart.php
>>146
サンクス!ドメイン認証を選ぶならこっちですね。
$45/year = 3600円/年くらい?これなら手が出せる。 エンジョイSSLって年額 1,000円なんだけどだれか使った人いない?
ttp://www.e-ssldirect.com/ >>148
使ったことはないが、RapidSSLは大量にまとめ買いすると、証明書あたり年額$8とかになる
(がもちろん商売じゃなければ絶対使い切れないくらい買わされるが)ので、価格はおかしくない。 認証局の話じゃなくて申し訳ないのですが、SSLについて教えて下さい。
サイトに接続するときに通信内容を暗号化するとのことですが、
有線LANの場合でも盗聴される危険性はあるのでしょうか? >>150
可能性という意味では十分にある。
有線なら同じネットワーク内でパケットキャプチャを行なえば、通信内容全てを
捕捉することができるので、SSLを使っていなければ何をやったのかまで調べられる。 >>151
> 通信内容全てを捕捉することができる
パケットキャプチャやったことある?
今時ネットワークハブはほとんどスイッチングハブだから、自ホスト宛もしくはブロードキャスト以外は
キャプチャできないよ。
もちろん、幹線にネットワークアナライザ繋いだり、ポートミラーリングできるスイッチングハブとかも
あるから、可能性という意味では 0 でないのは確かだけど。 ARPを偽装されればスイッチングハブだろうと無駄。
ARP spoofing でぐぐれば出てくる。たしか前にさくらあたりで実行されてた。 >>153
>>150
有線LANの場合でも盗聴される危険性はあるのでしょうか?
>>151
可能性という意味では十分にある。
有線なら同じネットワーク内でパケットキャプチャを行なえば、通信内容全てを
捕捉することができる
「可能性という意味では十分にある」は、>>150 に対するものだと思うけどね。 電波以外は盗聴できないと思った理由の方を知りたいわ 通信内容は調べられなくとも、どのサイトに行ったかはわかるからなあ。
内部告発用ページに行ったことがばれたら… >>157
そんなもん自宅にミラー用のcgi置けば良いだけだろ
2008R2でLAN内のPCに認証を配布するにはどうしたらいいんですか? startsslって個人認証すると、発行されるの全部class2になるの?
金払って認証だけして、発行するのはclass1のままマルチドメインにしたいんだけど無理なのかな? >>166
金払って認証してもらうのは、Class2 認証のためなんだが、何がしたいの? >>167
いや、マルチドメインの証明書が使いたいんだけど、名前は出したくないんだ。
class2だと名前はいっちゃうじゃない?
だから金払って認証だけして、発行する証明書はドメイン認証のクラス1でマルチにできんかなーと 最近はVPSが安くなってるから、自分でSSL証明書取る人も増えそうだね。 >>168
あー、なるほど。でも無理じゃないかなー。一応、サポートに聞いてみては? 自宅においてあるけど借り物でroot持ってないサーバとか >>175
悪くはないけど、geotrustのEVでいいや。 すみません、くだらないことなのですが確認させてください。
今HPを作っていてお問い合わせフォームなどお客様の個人情報を
入力してもらうページをSSL通信で暗号化させたいと思っています。
1:SSL証明書は発行した認証局のルート証明書がブラウザに
最初から入っていないとこの証明書は信頼できません等の
エラーメッセージが表示されるのですよね?
2:エラーメッセージが表示されない証明書で
一番安いものはrapid SSL証明書でよろしいでしょうか?
3:CAcert.orgは無料だけどエラーが表示されますよね?
StartCom Certification Authorityは1年だけ無料で
エラーも表示されないのでしょか?
エラーが表示されなく、無料のサービスって他にありますか?
お手数ですが、ご返答いただけたら幸いです。 >>178
そもそも使ってるレンタルサーバは自分が使いたいSSL証明書に対応してる? >>178
1.うん
2.知ってる限りrapidが一番多く対応してる
3.される。StartComは対応ブラウザ書いてあるべ?
>>179
ご心配、ありがとうございます。対応してることを確認しました。
持ち込みも無料でOKなので安いのを探してます。
>>180
StartComは様々なブラウザに対応してるんですね。
もうひとつ確認させていただきたいのですが、
お問い合わせフォームは
web上でお客様が情報を入力してその後お客様と、自分宛に
メールで情報が届くようになっています。
web上の暗号化はレンタルサーバーの管理画面から
秘密鍵と証明書のファイルをアップすればいいのだと思います。
1:メールの暗号化はメールソフトに同じ証明書を入れれば出来るのでしょうか?
2:StarSSL無料はMultiple Emails (S/MIME)に未対応とのことなので
メールのSSLまでは出来ないということでしょうか? >>181
POP なり IMAP が SSL にのってるんじゃないの、いまどき。
メールソフトの設定は下記の通りでした。
https://www.verisign.co.jp/ssl/products/pdf/ssl_mail_tech_mail.pdf
web上の暗号化のため取得したSSL証明書を使って出来るみたいですね。
多分レンタルサーバーの管理画面から設定するだけで
webもメールも大丈夫みたいな感じです。
S/MIMEは特定の人たちだけの場合にやり取りするにはいいみたいだけど
不特定多数の人とやり取りする今回の場合は不要のようです。
とりあえずStarSSLを使ってみます。 SSL通信の設定を行っています。
レンタルサーバー側が設定を行ってくれるため
言われたとおり StartComで発行した 秘密鍵 証明書 CA証明書の3点を送りました。
秘密鍵と証明書は下記HPの説明を参考にメモ帳に貼り付け
拡張子をcrtとkeyで保存しました。
http://futuremix.org/2009/02/startssl
CA証明書はインターネットオプション→コンテンツ→証明書→中間証明機関のなかからダウンロードしました。
送らなければいけないCA証明書がどれかわからないので
インターネットオプション→コンテンツ→証明書→信頼されたルート証明機関の中からダウンロードしたものも送りました。
「一致しない秘密鍵/証明書のペア
いくつかのフィールドが空であるか、無効な値が指定されています」
上記エラーが出たそうなんですが、何が問題なのでしょうか?
あとお願いしてから数日経過しているのですが、
設定はそんなに難しいのでしょうか? >>185
CA証明書とは、中間証明書のことでしょうか?
また、証明書はApache用、Windows IIS用、それに加えてmod_ssl用、OpenSSL用とか色色あるけど、
そこはレンタルサーバー会社に確認してサーバーに合う正しい証明書をStartSSLで発行したんでしょうか?
それなら、設定さえ行えば直ぐに使えます。
また、インターネットオプションからダウンロードする証明書は必要ありません。 >>186
サーバ会社には
http://futuremix.org/2009/02/startssl を参考にして取得したと伝えました。
サーバーにあうかわからないけど説明どおりに取得手続きをしたので
記事の通りApache + mod_ssl で HTTPS 通信ができる証明書だと思います。
サーバー会社も記事は見ているのでサーバーに合わないようであれば
言ってくるのではないかと思います。
(契約する前にURLを教えて大丈夫か聞いたときは大丈夫といっていました。)
中間証明書のことだと思います。 >>186
確認なのですが、
インターネットオプションからダウンロードする証明書は
中間証明書ではないということでしょうか?
それとも中間証明書自体SSLの設定で不要ということでしょうか?
(レンタルサーバー会社には送ってくれといわれました。) このページでも案内しといたら?
ttps://www.startssl.com/?app=21 色々教えていただき、ありがとうございます。
レンタルサーバー会社にページを教えてあげたら
すでに設定済みといわれました。
証明書を取得するときに住所等を登録したのですが、
サーバー会社に住所等を聞かれ
サーバー会社でも登録してみるとのことでした。
SSLの設定ってそんなに難しいのでしょうか?
こちらは証明書と秘密鍵ファイルを提出するだけで
普通は大丈夫なんですよね?
(取得はマニュアルどおりにやっているので間違いはないと思います。)
ここのレンタルサーバーで大丈夫なのだろうかと心配になってしまいました。 秘密鍵も送ってることで相手側には、送り主が初心者であることがわかって
説明が丁寧になる可能性が、、、無いことも無いかなw どこのレンタル鯖使ってるかも書いてくれてないから想像力働かせるしかないし、、、
秘密鍵がないと起動できないんだから送らざるを得ないだろうに。
むしろダメなのは客が取得した証明書を預るレン鯖屋の方だ。
まともなレン鯖屋というのはSSL証明書の取得代行までセットでやって
客が自分で取得した証明書は断る。秘密鍵の授受の問題もあるし、
客が同じ証明書で別のサーバを動かしたりするのも防がないといけないから。
そうでない時点で業者もクソ。それを選んだ客もクソ。
>>195
俺が知ってるところは全部まともじゃないのか。 取引先からクロスルート証明書がどーたらこーたらという転送メールがきた。
夏休み中だから休み明けに読むとして、なんだかめんどくさそうだな。 お前らさっさとrapidsslで一番安いところ教えろ