【認証局】SSLに関するスレ 2枚目【ぼろ儲け】
できない。
あなたのサーバ用の証明書は、そのサーバ(ドメイン)でしか使えない。
中間認証局用のキーは別に存在する。
まえに中間認証局用のキーが漏れたことがあって、大量に証明書を偽装する事件があったが。 >>300
証明書には「その証明書で他の証明書を発行していいか」
(中間証明書になってもいいか)というフラグがあり、
通常の証明書ではそれがfalseになっているので、無理。
具体的にはX509v3 Basic Constraints: CAの値。
もちろんそれも証明書の署名範囲内なので、無理矢理書き換えれば無効な証明書になる。 >>301-303 参考になりました。どうもありがとうございます。
中間証明書というのがないと、自分で公的な中間認証局を設置できないんですね><
→自分で中間認証局を作りたい場合、中間証明書ってのは、販売されているものなのでしょうか?(聞いたことないです)
普通の用途とは違って、特別なかんじがするから、販売されていたとしても、条件が厳しい・値段が高そうですね? >>304
いまいち理解してないようだが、認証局作るだけならopenssl使って誰も普通に作れるよ。
で、自分で作った認証局でいくらでも証明書の発行するのも自由。
自分のブラウザに「自分の認証局の証明書をインストール」さえしておけば、
自分で発行した証明書もブラウザは正規の証明書として認識するようになる。
そういう意味では発行し放題。
でもその行為(=得体のしれない認証局の証明書をインストール)は、
要は自分のブラウザのセキュリティを下げてるってことなのよ。
だって、google や yahoo の偽物証明書が返ってきたとしてもエラーにならないから
フィッシングやウィルスの仕込みだってやりたい放題になる。
それが自分にインストール済みの認証局が発行したものだったらブラウザは信じちゃうわけだからね。
なのでテスト目的で自分で作った自分が信頼する認証局を使って自分でやる分には問題ないし。
自分がホンの欠片も疑いを持たないような全幅の信頼を置いている友人が立てた認証局を信頼するのであればやってもよいことになる。
まぁ、俺なら例え友人や家族だろうと素人が立てた認証局なんてインストールしたくないわ。
要は認証局とか証明書っていうのは、信頼の連鎖なわけよ。
俺が信頼すると決めた奴の言うことは俺も100%信頼する、という、さ。
公的な認証局になるってことは他人のセキュリティを支配可能になるということとほぼ同じ。
だから国とか特別な公的な団体とか色んな人間に日々監査され信頼された大企業とか、
特別に「信頼出来る組織」が運用してる認証局しか基本使えないし、使わないの。
OSやブラウザにデフォルトでインストールされている認証局ってのはそういう存在なの。
これだけ説明すれば個人が公的な認証局になるなんてことはほぼ不可能だと分かるだろ? ついでに言うと、
だったらその「公的に認められた認証局」の中に悪人がいたらどうすんの?
って思うかもしれないね。
うん、勿論大変なことになる。
でももし一度でもそんなことをしたらその認証局は誰にも信頼されなくなるよね。
その瞬間から、世界中から「お前はもう信頼しねー」と思われ「あいつは信頼してはいけない」と言われる存在になってしまう。
現実にはそれによって何が起こるかというと、
全世界的にブラックリストな認証局として記録・公開される。
マトモなOSやブラウザなら、デフォルトインストールの認証局リストからそいつを排除するし。
その認証局の証明書をアンインストールするパッチを配布する。
そうなったらもうその認証局は実質的に存在できなくなるわけだ。
発行した証明書はブラウザで警告が表示されて誰も信じてくれない。
当然、証明書の発行を商売にしてたとしたら誰も買わなくなるから潰れる。
世界中から訴訟も起こされるかもしれない。
認証局自身も過ちを犯してしまったらそうなることが分かってるから、
全力で自分の組織を健全に保とうと努力するし、内部からも外部からも監査を徹底することになる。
それは監査を受けることはその組織にとって自分を守ることでもあるわけだ。
そういう目に見えない力が働くことによって、世の中の信頼の連鎖が今日も保たれてるのだよ。
分かった? 外部から不正侵入されて偽証明書を発行してしまったオランダの認証局は
信用を失ってその後破産しました。 >>297
へー安いね。
遊びで立てたサーバーでも入れてもいいかなって値段 >>308
認証局に悪人がいたわけじゃない(マヌケがいたかどうかは別)けど、
VeriSignがMicrosoftの証明書発行でやらかしたことはみんな忘れてあげてるよねw
http://internet.watch.impress.co.jp/www/article/2001/0323/verims.htm
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20010323/1/
DigiNotar(>>309)・Comodo(>>92)・TURKTRUST(>>301-302)がやらかしたことは忘れられてない気がする。
どの程度の監査がされてるか興味がある人はWebTrust for CAとか
Baseline RequirementとかRFC3647とかを調べたらいいと思うんだ
あと>>298にマジレスを追加するなら親にしたい認証局(の運営会社の)株を
50%越のレベルで超大量に買うのもいいと思う。ぼろもうけできるかは別として。 アメリカの機関がインターネット上の暗号を解読していたってニュースが
流れていたけど、SSLっていうのは大丈夫なのですか? 盗聴しやすいようにSSLは使わないサービスとかあったなw あれってサーバ側に平文の状態のデータをキャプチャするための
ソフトを入れるのかな(´・ω・`) 別にアメリカの機関じゃなくても
多くの大学やら、ハッカー集団がコンテストで破ってんじゃん。
結局イタチごっこなんだよ。
強度の高い暗号→処理速度向上で簡単に破られる→より強度の高い暗号化→
ハッキングに使うPCの処理能力も上がってるけど、
暗号化するためのPCも処理能力上がってるから
時代にあった暗号化技術を採用していけばいいって話だよ。 COMODO JAPANっていう所がスパムメール送りつけてくるんだけど
仮にもセキュリティ企業がスパムって頭おかしいんじゃないの?
勝手に送りつけてきて配信停止はこちらじゃねーよ evintl-ocsp.verisign.com
ocsp.verisign.com
crl.usertrust.com
www.msftncsi.com SSL証明発行頼んだが、対応が遅すぎて呆れた。
メールしても全然、回答こないし・・・。 DUNS (International)ってどこで取れるんですか?そもそも国内から取れるものですか?
SSL証明出すのに必要らしいんです >>322
金返してもらえば?
代理店で金払ったあとは発行する会社とのやりとりになるから
通常問題ないと思うんだけどなあ。 代理店経由なんですが・・・何故か直接シマンテックとやり取りしてるんですよ。
代理店に頼んだ意味がないですよね。 >>326
それが普通
代理店は売るだけだから、
どの代理店から買ってもその後は均一のサービスを受けられる。 代理店を通さずに、直接、結局やりました・・・。
値段がえらく安かったので驚きです。
代理店って結構、マージン取るんですね。 >>328
それなんか騙されてないか?
普通は直接申し込んだほうが高い。 http://www.namecheap.com/で申し込んだけどえらい安かったですよ
騙されたのかな・・・・。 >>330
namecheapも代理店だけど。
値段は普通じゃない? >>328は代理店への登録代行業者とかを使ったのかなw だったのかな〜糞高かったですよ。
RapidSSLでも国内の代理店だと2700円、nemecheapだと9ドルぐらいでしょ。
ぼったくりですよね >>333
そのくらいが相場なのかな。
確かに、内外価格差はかなりある商品だよね。
素人向けの商品じゃないし、ボンボン売れる商品でもないから、
ビジネスを成立させるためにはそのくらいの値段になりそうではある。 グローバルサイン、CloudFlareが本鯖タイムアウト画面出しよる
証明書更新でけんワロリッシュ StartSSLのClass2を検討しています。
個人認証は350日間有効、その間に発行した証明書は2年間有効
とのことですが、個人認証の期限切れ前に証明書を更新すれば
実質3年つかえるということでしょうか。
同じCNの証明書はrevokeするか期限切れ前XX日にならないと
発行できないなど制約はあるのでしょうか? >>333
探せば国内で1050円〜ってのがあるよ FNNニュース: 巧妙な手口のインターネット通販詐欺が急増しています。
ttp://www.fnn-news.com/news/headlines/articles/CONN00260212.html
>>「本物のサイトで、買い物かごに入れるってやった時点で、こういった鍵マークがつき始めます。
>>安全に暗号化して通知をしていますよというマークですね。
>>しかし一方で、偽サイトの方に関しては、1つ、買い物かごに入れてみますと、
>>買い物かごに入れても、特に鍵マークがつかないということですね」 じゃあ俺も fnn-news.net で鍵マークの付く本物のサイトでも作っちゃうかな >>336
その通り。認証が有効な期間と証明書が有効な期間は別。認証が有効な間は証明書を発行し放題で、証明書は発行日から二年間有効。 シマンテック、ハッシュアルゴリズム「SHA-1」利用停止までのロードマップを解説
ttp://www.atmarkit.co.jp/ait/articles/1402/05/news117.html おまえらHeartbleed対応したか?
面倒くさかったけど、reissueもした。 OpenSSL更新したのにApache再起動してないアホの子はいませんね? redhat6.4は対象外みたいな書き込み見たけど、up2dateしたら、openssl1.0.1になってたから、お間違えなく。 >>348
それなんてDebian?
にしても、StartSSLも再発行無料にしてほしいな。
revokeは本来有償のところ無償でやってくれたという報告あるけど
既にclass2認証切れてるから新たに発行できないんだよな・・・。 うーむ・・・
Please remove StartCom Certification Authority root certificate
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=744027 0.98使ってるんだけど、1.0の最新版にすべきなのかな(Apache2.2) >>346
3.05usdからになってるけど、
この値段はどのcertを買えばいいんだろう? >>354
アカウントページにもその価格の無いよ。
だけど、アカウントのページからだともう少し安い($2.99/yr)のがある >>355
これのこと?
Do you want cheaper price?
Create Free reseller account and get PositiveSSL for 3.75$ >>356
違う、リセラーでなくて普通のアカウント
GGSSL Domain SSL
1-5年
$4.00 $7.25 $9.65 $12.35 $14.95 BIG-IPの勉強をしているのですが、
クライアント証明書で教えて下さい。
クライアント証明書は、BIG-IPで作るのではなく、
サーバー側で作るのでしょうか?
また、サーバー側で作るクライアント証明書は
オレオレクライアント証明書になるのでしょうか? BIG-IPは別に関係ないじゃん。
クライアント証明書は、認証局で作成する。
ユーザーはCSRを認証局に提出して証明書を発行してもらう。
CSRの作成にはユーザー側で事前に秘密鍵を作成しておかなくてはならない。
性器の認証局で作成された証明書以外は、オレオレ証明書になる。 クライアント証明は、サーバサイドで本物と認識できれば、私製でも支障はない。 startsslって日本のスマホには未対応なんだな
使うまで知らなかった >>363
日本キャリア向けのだけわざわざ抜いてあるの? GoogleがSHA-1証明書を利用するサイトに警告を表示
ttp://googleonlinesecurity.blogspot.jp/2014/09/gradually-sunsetting-sha-1.html
ttps://www.toritonssl.com/info/2014/2014_09_19.html
ttps://jp.globalsign.com/blog/2014/google_warnings_sha1.html GeoのRapidSSLワイルドカードにしたった
さて色々やらねば ssls.comからcomodo positiveSSL 5yearをおよそ$25で購入。JNBのカードレスVISAが使用可能だった。
安上がりで素敵。 ttp://japan.zdnet.com/security/sp/35055409/
SSL3.0オワタ >>371
XPと共に終わったと思うが、いまだにXP使いつつけるヤツいるからな。 SSLに関しちゃIE6と並んでガラケーが相当あるからレガシー切りはなかなか厳しいよ
SHA-1署名足切りと並んで頭痛い話に ウチは全部ぶった切ったったw
古いやつ?
そんなんしらんw king SSL が,、900円
RapidSSL は 1,080円
このあたり誰か使っていませんか >>379
どこ使っても同じ
うちはRapidワイルドカードしたけど 厳密な手続きや審査を経ない証明書なんて
たいしてオレオレ証明書と変わらないんじゃね
今も無料のやつあるけどさ 俺以外の誰かが証明している事が重要なんだよ。
実態がオレオレ程度でもね。 まあオレオレじゃ他人に使わすのは現実的ではないからねえ
個人よりもルーターの設定とかそういうほうが切実かもしれない >>381
各種ブラウザの証明書ストアにこのRoot CA登録されるの? 証明書取得したきっかけは>>240なので、googleが認めてくれないとだめだな 2012年製以降のガラケーもドコモ以外はSSLからTLSに移行してるみたいだな
アマゾンでガラケーが使えなくなったって人は
TLSに移行出来ないくらい古い機種の人らか iモードでもtls対応になったiモードブラウザ2.0機種は2009年夏モデルからみたいだ
それ以前のモデルでもフルブラウザ使えばTLS使える 証明局の乗り換えって大変ですか?
例えば今StartSSLで始めて、来夏にLet's Encryptを利用するとか >>390
面白そうなサービスが始まるんだな。証明書の管理もいらなくなるし、
暗号化できればいいやって部分は全部ここでよくなるかも。
これが始まったら、RapidSSLとか安売りして日銭稼いでるディーラーは
ヤバいんじゃね? SSLを単純に暗号化目的で使っている人もいるからねぇ >>393
オレオレでいいんじゃないの
>>392
>RapidSSLとか安売りして日銭稼いでるディーラー
現状でも商売になってるのかなあ? >>394
オレオレだと警告出るじゃん
警告が出るのと出ないのとでは大きな違いだよ >>395
ああ誰かに使わせるならそうだね
OVってもはや意味ないよねえ >>394
いやいや、盗聴の防止が暗号化の目的だとすると、
オレオレは盗聴者が居ないことを保障できないから駄目だよ >>398
事前に確実な方法でクライアントにオレオレ証明書を渡して
インストールしてもらえば大丈夫じゃないの? 
