【認証局】SSLに関するスレ 2枚目【ぼろ儲け】
>>4 あれ?59ドルになってる? あれ? 2年になってる?? >>206 あ?普通に考えれば小売だろ お前の頭の中では卸売業者の数>>最終消費者なんだろうな あ? って頭悪いの自分から表現しなくてもいいだろうに。 ベリサインのEVのページを見てたけど, 弁護士以外にも税理士公認会計士司法書士行政書士公証人の意見書でも 大丈夫になったんだね。 税理士は日頃から付き合いがあるから楽だな。 >>96 D-U-N-S Numberは多くの場合,登記情報から勝手に付番してるみたいで, 当社も例外ではなかったよ。 帝国データバンクのコードもあるから,たぶんこれだけで行けるかな,と 踏んでる。 D-U-N-S Numberの登録情報を更新できたから、EV証明書を申し込んでみたけど、 情報更新は日本のデータベースのみで、海外データベースの情報が更新される までに1ヶ月かかるとか書いてあるサイトがあるorz 急いでるわけでもないし、DNB以外にも確認の方法は定めがあるから、 いいんだけど、どうなるかな。 SSL常時接続ってフーンそういうのがあるんだぁと思っていたら身近にアッタ http://www.hellowork.go.jp >>220 Googleもトップ以下全部SSL接続になるよ。 >>220 Japanese Government ApplicationCA こんなルート証明書があって、ブラウザが対応してたのか。 サーバーの証明書チェーンが不完全です。署名者が登録されていません。承認しますか? ってOperaはこうだったけど、Chromeはそのまま通ったわw >>221 Geotrust +-Google Internet Authority +-*.google.co.jp だった。自社で証明書を発行できるなら楽だな。 お前ら、突っ込みどころはそこじゃない。 >>220 ハローワークが身近なのか。働け。 自転車駐車場を借りるときに勤務先または通学先までの経路を書く欄が あったから近くのハローワークまでの経路を書いておいた。 読んだ人がハロワ勤務だと思ってくれたかどうかは知らない。 自宅-(専用トンネル)-ハローワーク飯田橋 これでおk? EVの審査が進まないから,とりあえずRapidSSLを買って入れてみた。 1年で$9.95 https://www.sslmatrix.com/ssl-brands/rapidssl/rapidssl-certificate ていうかEVって半分以上は自己満足で実は大して売上に影響ない気がする。 なんとなく俺がやってみたいから申請してるだけで。 >>233 影響あるのって銀行とか大手メーカーくらいで中小ならrapidで十分だと思う 一年$9.95って、そこやすくていいね >>234 中小でもEV入れたら大手っぽく見えるからやってみたかったのさw >>234 確かに安いんだけど,サイトにもインボイスにも社名も連絡先も書いてない。 結構怖かったけど,使ってるのが2checkoutという決済代行会社で, 2checkoutの機能でpaypalが使えるからそれで払った。 結局sslmatrix.comの正体は不明のまま。 ドメインのwhoisも情報出してないし。なんなんだこれ。 証明書はすぐに発行されて問題なく使えてるけど。 >>236 (1次だと所在明かさないとなれないハズだから)代理店の代理店なのかな? 最近1次にはなれないから2次代理店になりたくて英語サイトあさってるんだけど なかなかそのクラスで卸してくれるとこない >>237 なるほどねえ。 日本のSSL証明書屋って顧客がすごく限られそうだから大変そうに見えるけど,, GmailへのPOP3メールインポートでSSL使用時に正規の証明書を求められるように なったのがきっかけで、StartSSLの証明書(Class2)を作成しました。 RapidSSLなど通常の証明書よりは高いけど、複数ドメイン運用しているから ワイルドカードやSAN使えるのは便利です。 StartSSLの証明書のSubjectには、作成したアカウントのメールアドレスが 記載されるという記述をブログで見かけたけど、正確にはドメインのValidateで 使用したアドレス(postmaster@など)になります。 (CSR作成時のO,OU,Subjectなどは無視されます) >>241 どこか安いところがあるの? だったら教えてほすい >>242 sslrenewals.comで、geotrustのEVを上の方にあるクーポンで2年で$225で 申し込んだよ。 審査のメールのやりとりは全部日本語で、元が日本語の書類(登記簿謄本 とか)は全部日本語のままで大丈夫だった。ただし、宣誓書みたいなの は英語でだした。確認の電話も日本語で日本の昼間にかかってきた。 自分だけ英語を理解できれば、書類を全部英訳したりする必要は ないので結構楽だった。 これからEV証明書を取る場合の準備 電話帳に掲載する→1週間ほどで104から確認可能になる 職業別電話帳にも掲載する→1〜2ヶ月でiタウンページから検索可能に 登記上の本店所在地と,実質的な本店所在地を一致させる 定款に英文社名の表記を定める→株主総会,社員総会議事録の整備,新定款作成 D-U-N-S Number検索で自社の情報を調べて,誤りがあれば訂正 ドメインのwhois情報に社名や連絡先を登録しておく これだけやっておけば,すぐに確認ができて発行されるはず。 >>244 TDB, TSRなどの外部信用情報会社の基本情報の情報更新もあるな。 GeoTrustはどっちも見ないはずだけど、いい機会だから更新しておいた。 日本企業のD-U-N-Sナンバー管理はTSRじゃなかったっけ >>246 そうそう。 でもTSR企業コードとD-U-N-S Numberは別で,情報もそれぞれ別。 TSR独自で取材している企業はTSR企業コードを持ってる。 ワイルドカード型の証明書って、 hoge.jp のほかに www.hoge.jp ftp.hoge.jp とかできること書かれてるけど www.hage.hoge.jp とか、サブドメインの更に下にホスト名かいてもいいの? https の場合はだめ。RFC 2818 Http Over SSL, section 3.1 で Names may contain the wildcard character * which is considered to match any single domain name component or component fragment. E.g., *.a.com matches foo.a.com but not bar.foo.a.com となってる。CN の解釈は利用するプロトコルの方で決めることになってるので、 https 以外ならいけるのがあるかもしれない。 >>248 最近は、ワイルドカードとSAN (Subject Alternative Name) の両方を使えるものもあるから、階層深いのは後者で。 >>252 さすがにこういうのはだめだよね? *.*.hoge.jp SAN に *. 使えるのか... Common Name : *.wikipedia.org Subject Alternative Names : *.wikipedia.org, wikipedia.org, m.wikipedia.org, *.m.wikipedia.org *.*. はだめだと思うけど >>254 自分もStartSSLで発行して使ってます。 ところでみんなはまだSHA-1? この記事みてSHA-256にしてみたよ。 ttps://www.verisign.co.jp/press/2012/pr_20120328.html >>255 ハッシュ関数もそうだが、RSA鍵の長さもな。 >>256 そんなにアクセスがあるわけではないけどopenssl speed rsaの 実行結果みて4096ではなく2048にしてしまった。 >>255 私もStartSSLです。発行し放題なのでついつい必要のないところまでSSLにしてしまうのが…^^; SHA-256 + 4096bits だったりします。速度より安全重視? 偉いおじさん、ちょっと教えて下さい VPSでIPアドレスを1つ持ってて複数のドメインを運営してて 例えば、AAA.comでSSLを使うと BBB.jpでは認証取れなくなるの? IPひとつに対して認証は1つ、みたいにどっかで見た気がするので 認証って何の認証? 証明書取るのにはIPアドレス関係無いよ。 使用時はIPアドレス1つにSSLドメインは1つだよ、逆引きで一致しないと 警告出るからね。 それは運用の仕方による。今はサーバーもブラウザもバーチャルドメインでのSSL運用に対応してるから。スマートシールとかは知らんけど。 詳しくは、バーチャルドメイン+SSLでぐぐれ あ、認証じゃなくて証明書か。 バーチャルホスト使ったテスト用サイトでstartSSLの証明書はセット出来た。 そんで本番用のサイトにrapidSSL申し込んだりしたらIP同じだから問題あるよな?って心配したんだ。 逆引きの件はじっくり調べてみる。 ありがとうございました。 証明書取るのにIPとか逆引きとか関係ないよ。 普通にWEBサーバでバーチャルドメインするだけなら今時は普通対応してるから大丈夫。 >>262 非対応ブラウザ結構なかったっけ? 切り捨てるつもりならいいけど、出来るだけ多くの人に見て欲しいサイトなら SSLサイトごとにIPアドレスをつけるのがいいかと >>266 Android 2.x のブラウザ[32] (Honeycomb for tablets と Ice Cream Sandwich for phones では対応) bアれ結構残ってbネいかな? IPベースのバーチャルホストが複数のSSL証明書が利用できないのは FQDNが決まらないとサーバ側がどの証明書つかっていいかわからないが FQDNが分かるのは複合してからという缶切りは缶詰の中状態なせい。 解決するには ・ポートベース(80,443ポート以外だと接続できないクライアント環境がある) ・SNI(対応してないブラウザが多い) 等がある。 SNI非対応で問題になるのは以下の通り ・IE6(いまさらどうでもいい気がする) ・XPの人(IE8でもXPだとダメ) ・android 2.x系の人 ・wii,playstation(どうでもいい) ・ガラケーの大部分(めんどくさいから細かくは調べて無い) 特に問題なのはandroid 2.xで 「2013年1月3日現在のGoogle Play Storeへのアクセス統計によるバージョンごとの世界シェア」で50%以上を締めてる http://ja.wikipedia.org/wiki/Android#.E3.83.90.E3.83.BC.E3.82.B8.E3.83.A7.E3.83.B3_2 世界中がIPv6対応になる日が先かSNIの普及(古い環境の駆逐)が先かって感じだな CA/Browser ForumのBaseline Requirement 1.0では、CAが発行する証明書について subjectAltName: 必須 commonName: 推奨されない(でも禁止しない) となってる http://cabforum.org/Baseline_Requirements_V1.pdf https://jp.globalsign.com/repository/baseline_requirements_ja.pdf ttp://co-akuma.directorz.jp/blog/2012/05/baseline-requirement%E3%81%A8%E3%81%AF%EF%BC%9F/ サービス提供会社の信頼性に依存するけど クライアント ↓ SSL なにかサービス ↓ SSLでproxy ポートベースのVH ってしてくれるサービスがVPSより格安であったらよさげだね >>272 ざくっと調べたところ「商号登記」ってのが手軽そう。で、商号登記簿謄本の写しとそれを英訳した物を資料として用意したりすんのかな? 後は自分で調べてみる。ありがとう。 あれ、商号登記あっても個人だとEVは無理だったと思う。 どこの認証局で出してる? ルート証明書入ってても確認メッセージが出る古い携帯があります OK押せばきちんとSSLマークも出て通信されますが、 比較的新しい携帯のように確認自体が出ないもんかと思っていましたが そういうもんなんでしょうかね? 具体的にはEquifax Secure Certificate AuthorityでSoftBankの810T ↓の"SSL証明書一覧"見る限りでは○になってるんですけど ttp://creation.mb.softbank.jp/mc/tech/tech_web/web_docandtools.html >>275 携帯の時間有ってる? クロスルート証明書の設定してある? >>277 携帯の時間、ドンピシャです! (始めに設定してたつもりが電池抜いたり指したりしてたら過去に戻ってしまっていました・・・) >>276 確認メッセージ自体は機種によると思いますが、 「このサイトは安全ではない可能性があります。接続しますか?」 というものでした どうもありがとうございました! 数年ぶりに携帯サイト弄ることになって色々情報を確認してみると、 auの旧800MHz帯関係で古い機種サポートしなくても良くなっていたり (手持ちの該当機種にSIMカード入れても圏外になるので始め故障かと思いました)、 携帯サポートもRapidSSLでほぼ十分(当時はThawte使ってました)になっていたり、 浦島太郎状態でした スマホ時代なので証明書に関してはあまり意識しなくてもよい時代になった感じですね 2010年問題(2012年問題)のおかげで どの会社の使ってもカバレッジ100%に出来なくなったから RapidSSLで十分だよね。 シールなんかあっても誰も見て無いなぁ >>279 当サイトは○○の高度なセキュリティ技術と証明書によってお客様の プライバシーや通信内容が強力に保護されていることを知っていましたか? ・知っていた ・今知った って項目をSSLサイトに作ればいい。 OpenSSLのインストールがうまくいかなくて困り、ここで質問しようとしたら、その前に自己解決しました。 http://www.shinbo.org/archives/631 ↑この通りにやったら、とりあえずOpenSSLの最新版(1.0.1e)の導入に成功。 次の目標は、Apacheを入れて、自己認証局を建てて、オレオレ証明書でSSLを利用可能にすることです。 うまく行かなかったら、またここで質問させていただきます。よろしく! お引き取り下さい。 あなたのような無能クズが来ていいスレではありません。 http://thinkit.co.jp/free/article/0706/3/7/ http://www.oss-d.net/apache2.2-php5.3 あたりの説明通りにやったら、テストサーバーでは、オレオレ証明書(ワイルドカード対応=*.ドメイン名)でSSLができるようになりました。 本番サーバー(さくらVPS)でやったら、https:// でページは表示されるけど、ディレクトリが別々になっているVirtaulHostのトップページが表示されず、ドキュメントルートのトップページが表示されてしまった。 httpd.conf、vhost.conf、ssl.confあたりの設定をいじっているけど直らない>< どうすれば直るでしょうか?アドバイスよろしくお願いします。 環境は、CentOS5.9+Apache2.2.3+OpenSSL1.0.1です。 <VirtualHost *:443> ServerName domain.com:443 DocumentRoot /var/www/html/domain.com SSLEngine on SSLCertificateFile /etc/pki/tls/certs/server.crt SSLCertificateKeyFile /etc/pki/tls/private/server.key </VirtualHost> こんなかんじですが、正常なページが表示されませんね〜>< >>283 どんな達人でも、最初はみんな初心者だった。 だから、私はどんなにスキルアップしても、初心者に親切にしてあげようと思っています。 皆さんも私に親切にしてください。よろしくお願いします。m(__)m >>287 アドバイスありがとうございます。エラーログを見て、改善を図り、トップページまでは見えるようになりました。 # pwd /var/log/httpd # ls ssl* ssl_access_log ssl_error_log ssl_request_logPHP5.4+CodeIgniter2を使ってるのですが、他のページが見えないのは、Rewriteルールの記述の問題みたいでした。原因の切り分けができたら、またこちらで質問させていただきます。 というか、エラーログみないレベルのキチガイがSSLとか10桁万年早い。 RapidSSLの証明書は一意に企業は低コストのSSL certificates.Theyがeコマースやセキュアログインエリアを提供するサイトの光のレベルを行うウェブサイトに適しています信頼できる、完全に機能する単一のルートを取得することができます。 ClickSSL - http://www.clickssl.com/ssl-certificates/rapidssl Nginx1.2.4+OpenSSL1.0.0で、オレオレ証明書のSSL通信ができました。 Nginxの設定は、Apacheと比べて、超簡単でした! Apacheのmod_rewriteは、正規表現を復習して、再チャレンジしたいと思います。 >>289-292 どうもありがとうございます。 example.comでwwwサーバ、メールサーバ、sshサーバを運営したいんだけど、 www有りのコモンネームで証明書を取得すれば、SANsの機能で www有り・無し関係なくSSL通信ができるという認識であってますか? >>294 example.com と www.example.com の両方がSANで含まれた証明書ならね。 でも、普通は www.example.com の証明書を取得したら example.com は含まれないと考えるべき。 追加料金で両方含めれたり、逆にexample.comは最初から勝手に含まれてたりとか、認証局によって違う。 >>295 example.com (wwwなし)の証明書って必要? ComodoのPositive SSLって安いな ttp://www.gogetssl.com/domain-validation/ Positive SSL CNがexample.comにSANでwww.example.com Rapid SSL CNがwww.example.comにSANでexample.com だったはず 認証局を立ててぼろもうけしたいんですが、 親にしたい認証局で何を買ってくればいいんですか? >>298 馬鹿なの? マジレスすると自分の作ったCA証明書を、 各種ブラウザやアプリやOSにデフォルトでインストールしてくれるよう 全世界に対して頑張って営業すればよい。 (1) RapidSSLで安いサーバー証明書を1個買う (2) 自分で中間認証局を作り、RapidSSLのサーバー証明書を割り当てる (3) 自分で、自分用の他のサーバー証明書を量産する ってことはできるものでしょうか? 要するに、自分で運営しているWebサイト(ドメインがいろいろある)を(1)でまかなうケチケチ作戦です(・∀・) ttp://e-words.jp/w/E4B8ADE99693E8AA8DE8A8BCE5B180.html ttps://www.verisign.co.jp/basic/pki/trust/index_4.html read.cgi ver 07.5.1 2024/04/28 Walang Kapalit ★ | Donguri System Team 5ちゃんねる