【認証局】SSLに関するスレ 2枚目【ぼろ儲け】
認証局がぼったくりやってるからSSLが普及しないんだと思う。 わざわざブラウザが変なメッセージ出すようになったかと思えば、今度はアドレスバーを緑だと? 安いクイック認証SSLさえ排除するつもりか。 >>103 アンチウイルスとウイルスの関係みたいなもんだよ。 要はマッチポンプ。 >>100 StartSSL使えば最近は問題ないよ 携帯は駄目だが StartSSLでやってみたけど、もしかしたら失敗したかも。 3回目のメールは来るのかな? ログインできなくって、認証されたかどうか分からない。 やり直したら成功しました。 でも、サブドメインだから、validationできなかったw >>96 GeoTrustのEV証明書安くてよさそうだけど、海外のリセラーでも手続は 問題ない?DUNSナンバーは少しお金を払えば取れるみたいだけど。 >>108 発行手順自体は日本も海外も変わりはないから大丈夫と言いたいところだけど、肝は何か問題があった時に 自力で対応できるかどうかかな。海外のリセラーって、ただ買えるってだけで実務を代行してくれたりする わけじゃないからね。 >>109 dクス。 うちは日本語の書類わからないから、全部翻訳して証明つけてくれ、 などと言われたら安い意味がないじゃん、と思って。 $150/yrくらいで緑になるなら(・∀・)カコイイ!!ので前向きに考えます。 もう少しぐぐってみたよ。 http://www.webcosmoforums.com/vouchers/32779-promo-codes-ev-ssl-certificates-starting-112-50-yr-sslrenewals-com.html 2年で$223 2年で$225 sslmatrix.com 1年$120 matrixってところ、SSL証明書を売るビジネスなのにろくに連絡先も 書いてないし、ここは遠慮したいな。renewalsはよさそう。 thesslstore.com rapidsslonline.com sslrenewals.com comodosslstore.com の4つ(少なくとも)はフロリダ州セントピーターズバーグ(タンパの近く) のRapid Web Services, LLCの運営だね。こういうビジネスモデルは よく見かけるけど、サイトをたくさん作ると売上が増えるのかな。 メインはthesslstoreらしい。 >>112 いくつか比較して選ぶ その比較が全部自社の手の内なら…… >>113 なるほどそういうことか。 ところでthesslstoreにメールしたら、EVの確認ができなくて証明書が 発行できなければ、またはその他どんな理由でも全額返金するって。 行けおやじ.comなら、EV証明書は$99だけど…2年で$150 すまん。よく見たら、US, Canada & UK onlyって書いてあった >>116 翻訳が不要なおいしい部分だけ商売にしてるのか。 自分の場合だけど、今年の半ばくらいまで、サイトシールがなんのために あるのか知らなかった。飾りだと思ってた。 認証局の意味を知らなかった。 海外サイトでソートやジオトラストのサイトシールもときどき見たけど、 あれはファッションで、証明書を発行しているのはベリサインだと 思ってた(今は子会社になっちゃったけど)。 そのうちアドレスバーが緑になるサイトをときどき見るようになって カッコイイと思った。 普通の利用者なんてそんなものじゃないかと。 >>118 一般的にはそんなものだと思う。SSLもよくわかってないんじゃないかなと。ただ、緑色だから安全なのかな程度の認識はあると思う。 そのうち、対外的には緑色にならないところは警戒されるようになったりするのかね。 板違いなんだけど、国内のレンタルサーバーで、自分が持ってる証明書を インスコできるところで安いところってどこがあるのかな? それ、証明書だけでなく秘密鍵も向こうに渡すことになるんだけどわかってる? レンサバ屋の立場からしても、「パスフレーズつきの鍵よこすなクソ客め」てなことが 頻発するのはうれしくないので、対応してるところはまずないと思う。 自分が root になって管理するようなところなら別だが。 >>121 なるほど、わかってなかったd 先週契約した海外鯖だと画面から自動インスコ可能。 またはサポートに連絡すれば無効でインスコしてくれる。 サポートサイトも充実してるし、そういうところは大手はいいな。 >>122 Pleskが確か証明書/秘密鍵の自動インスコに対応してたよね。 cPanelは、WHMからインストールなのでサポートにお願いしなくちゃならないけど。 StartSSLを申し込んでみました。 開発中のサイトは http://hogestore.com がトップページなんだけど、StartSSLだとサブドメインをつけないと いけないっぽい。無難にsecure.hogestore.comにしておいたけど、 よく調べたらsecure.hogestore.comに専用IPアドレスをもらって、 さらにサブドメイン間でのデータ受渡が必要になるのね。 なんだか面倒そうなので、FreeSSLでhogestore.comの30日有効の 証明書をもらってインスコしてみました。 ちゃんとhttpsになってちょっと感動。 >>124 勘違いでした。 StartSSL.comからは hogestore.com secure.hogestore.com の2つのドメインに有効な証明書をもらっていました。 こっちの証明書に入れ替えてもちゃんと動作しました。 クライアント証明書がないとログインできないのがわかってなくて、 保存してなくてログインできなくなりました。まあいいか。 >>125 サーバー証明書はQuickSSLもそうだからワイルドカード証明書以外は何処もそうじゃない? コモンネームで取った証明書を見るとサブネームとしてドメインネームもあるから ドメインネームだけのWeb証明書やメル鯖のSSL認証としても使えたりするよね。 で、sslとか単にsとか短いサブドメインに変えたくなるんですよね。 amazon.co.jpは、 トップページ www.amazon.co.jp SSL https://www.amazon.co.jp だなあ。 SSL不要のページにhttpsでアクセスすると勝手に外れる。 逆にSSLがつくべきページだと勝手につく。 これってサーバ変数とかを使ってリダイレクトすればいいのかな。 >>119 そのうち、アドレスバーが緑色にならないサイトは、 「このサイトは運営者の実在が確認できていないので超危険ですが、 それでも自己責任で継続しますか?」 のダイアログが表示される機能が搭載されるに1票。 >>129 EV証明書は実在確認だけじゃないんだけど…実在しておりなおかつ現に事業を営んでいることが証明された法人であることが 取得条件なので、個人が置いてきぼりを食らうような機能は認証局が認めないと思う。 2002の「アルゼンチンvsイングランド」と「決勝」を朝鮮総連を騙し、観戦した少頭劣一族のアミ…立て籠り犯 朝鮮総連 少頭劣一族の真の最終目的は 徳川の財産を全て奪い 日本の芸能人を多数 中国へ拉致し、 あちらで更に監禁し働かせ 自分達家族は優雅に国に土地を買い 自分達の国にし遊んで暮らすつもりだった。 日本の芸能人を色々な奴隷にすると言っていた。日本列島は棄てる。 中国へ帰る家族のみが立て籠り犯だ。 次に狙うのはイタリアだったらしい。 おまぬ〜! フィリピンの范蘭と西太后の所からモンゴルに逃げた『シバ』の子達だ。 >>132 そのURLに対してしか証明力がないのでそれは問題ないかと。 wildcard SSLに興味があります。 ここで紹介されているサイトを巡った結果、wildcard sslはだいたい120ドル/年前後のようです。 しかしここに ttp://garrisonhost.com/ssl.htm AlphaSSLというのが45ドルでwildcardを取れるらしいです。 しかしAlphaSSLというのは聞いたことがありません。 ご存知の方がいたら、評判とか信頼性とか気をつけるべき点を教えて下さい。 >>134 GlobalSign つまり、GMOグループの安売り証明書ですね。GeoTrust と RapidSSL の関係と同じ。 暗号化さえできればいいけど、オレオレ証明書はイヤ、という向きには問題ないんじゃないでしょうか。 >>135 ありがとうございます。 ためしに「Order Wildcard」(購入) ボタンを押したら、へんなページが表示されて購入できなさそう。 今回はやめときます。 さらに調べると、startssl.comではwildcardが2年で$59.90だそうです。 http://www.startssl.com/?app=39 * Wild cards (*.domain.com) * Multiple domains (DNS Alt Names) * .... * Certificates 2 Years valid (730 days) ケータイ対応が必要ないなら、wildcardではここがいちばん安いのかな。 だれか使ってみた人いませんか。評判を聞きたいです。 ぐぐっても、freeバージョンの情報しかでてこない。 >>136 使ってる。昔は、IE(というか、Windows)に対応してないとか不備があったけど、今は問題ない。 提出書類も、免許証(または写真付きの住基カード)とパスポートがあればOK。 申し込んだら本人確認の電話がかかってくるけど、本人が申し込んだのか、住所や名前は正しいかを聞かれるくらい。 一度認証をクリアすると、2年間有効のワイルドカード証明書を350日間作り放題なので、ホント安いです。 それと、実在証明付きになるので、そのへんの安証明書よりは万倍ましかも。サイトシールはちょっとださいですがw この世からipv4が消え去って ipv6ばかりになれば、認証局という仕組みは無くなりますか? >>138 認証局が何を認証しているかよく考えれば、IPv6になったらなくなるかもという考えは浮かばなくなります。 >>137 StartSSLってその値段でワイルドカードで本人確認するの? すごいな。 >>137 ありがとうございます!参考になります。 > 申し込んだら本人確認の電話がかかってくるけど、本人が申し込んだのか、住所や名前は正しいかを聞かれるくらい。 これって英語ですか? > 一度認証をクリアすると、2年間有効のワイルドカード証明書を350日間作り放題なので、ホント安いです。 ここでいう「認証」って、個人のことですよね。ドメインの認証はまた別個に行うということでしょうか。 また複数のドメインに対してワイルドカード証明書がほしいんですが、その場合、ドメインごとに料金がかかりますか? >実在証明付きになる 証明書に個人名が載ったりするんでしょうか。もしそうならちょっとやだなあ。 >>141 英語です。が、相手もわかっててゆっくり喋ってくれるのであんまり心配はいらないですよ。:) >ここでいう「認証」って、個人のことですよね。ドメインの認証はまた別個に行うということでしょうか。 ドメインの認証は個人認証が通った後にまたドメイン個別に行います。費用は個人認証にかかるだけで、ドメインの認証、証明書の作成は無料です。 >証明書に個人名が載ったりするんでしょうか。もしそうならちょっとやだなあ。 いや、そりゃ証明書なんで。^^; むしろどこの何者が運営しているかわからないドメイン証明書の方が問題ではないかと。 氏名と都道府県、市区町村までの住所が証明書に記載されます。 >>142 うおー超参考になります。感謝! > いや、そりゃ証明書なんで。^^; むしろどこの何者が運営しているかわからないドメイン証明書の方が問題ではないかと。 ですよねー。 > 氏名と都道府県、市区町村までの住所が証明書に記載されます。 仕方ないとはいえ、実名と住所がさらされるのは気が引けますね。 whoisでの代行登録みたいなのができればいいんですが。 要はドメイン認証の安いワイルドカードがあればいいんじゃないの? >>144 はい、その通りです。 Comodoのwildcardがドメイン認証で、これだとドメインごとにだいたい$99/yearします。 この値段なら払えないこともないんですが、 startsslのほうは2年で$59、かつ142さん情報だとドメインが複数あっても同じ値段なので、 やっぱりstartsslに惹かれますよね。 Alpha の $45ワイルドカード証明書だけど、GarisonHost のリンクが更新されてないだけみたい。 ↓から購入できそうではあるけど。 ttps://my.garrisonhost.com/cart.php >>146 サンクス!ドメイン認証を選ぶならこっちですね。 $45/year = 3600円/年くらい?これなら手が出せる。 エンジョイSSLって年額 1,000円なんだけどだれか使った人いない? ttp://www.e-ssldirect.com/ >>148 使ったことはないが、RapidSSLは大量にまとめ買いすると、証明書あたり年額$8とかになる (がもちろん商売じゃなければ絶対使い切れないくらい買わされるが)ので、価格はおかしくない。 認証局の話じゃなくて申し訳ないのですが、SSLについて教えて下さい。 サイトに接続するときに通信内容を暗号化するとのことですが、 有線LANの場合でも盗聴される危険性はあるのでしょうか? >>150 可能性という意味では十分にある。 有線なら同じネットワーク内でパケットキャプチャを行なえば、通信内容全てを 捕捉することができるので、SSLを使っていなければ何をやったのかまで調べられる。 >>151 > 通信内容全てを捕捉することができる パケットキャプチャやったことある? 今時ネットワークハブはほとんどスイッチングハブだから、自ホスト宛もしくはブロードキャスト以外は キャプチャできないよ。 もちろん、幹線にネットワークアナライザ繋いだり、ポートミラーリングできるスイッチングハブとかも あるから、可能性という意味では 0 でないのは確かだけど。 ARPを偽装されればスイッチングハブだろうと無駄。 ARP spoofing でぐぐれば出てくる。たしか前にさくらあたりで実行されてた。 >>153 >>150 有線LANの場合でも盗聴される危険性はあるのでしょうか? >>151 可能性という意味では十分にある。 有線なら同じネットワーク内でパケットキャプチャを行なえば、通信内容全てを 捕捉することができる 「可能性という意味では十分にある」は、>>150 に対するものだと思うけどね。 電波以外は盗聴できないと思った理由の方を知りたいわ 通信内容は調べられなくとも、どのサイトに行ったかはわかるからなあ。 内部告発用ページに行ったことがばれたら… >>157 そんなもん自宅にミラー用のcgi置けば良いだけだろ 2008R2でLAN内のPCに認証を配布するにはどうしたらいいんですか? startsslって個人認証すると、発行されるの全部class2になるの? 金払って認証だけして、発行するのはclass1のままマルチドメインにしたいんだけど無理なのかな? >>166 金払って認証してもらうのは、Class2 認証のためなんだが、何がしたいの? >>167 いや、マルチドメインの証明書が使いたいんだけど、名前は出したくないんだ。 class2だと名前はいっちゃうじゃない? だから金払って認証だけして、発行する証明書はドメイン認証のクラス1でマルチにできんかなーと 最近はVPSが安くなってるから、自分でSSL証明書取る人も増えそうだね。 >>168 あー、なるほど。でも無理じゃないかなー。一応、サポートに聞いてみては? 自宅においてあるけど借り物でroot持ってないサーバとか >>175 悪くはないけど、geotrustのEVでいいや。 すみません、くだらないことなのですが確認させてください。 今HPを作っていてお問い合わせフォームなどお客様の個人情報を 入力してもらうページをSSL通信で暗号化させたいと思っています。 1:SSL証明書は発行した認証局のルート証明書がブラウザに 最初から入っていないとこの証明書は信頼できません等の エラーメッセージが表示されるのですよね? 2:エラーメッセージが表示されない証明書で 一番安いものはrapid SSL証明書でよろしいでしょうか? 3:CAcert.orgは無料だけどエラーが表示されますよね? StartCom Certification Authorityは1年だけ無料で エラーも表示されないのでしょか? エラーが表示されなく、無料のサービスって他にありますか? お手数ですが、ご返答いただけたら幸いです。 >>178 そもそも使ってるレンタルサーバは自分が使いたいSSL証明書に対応してる? >>178 1.うん 2.知ってる限りrapidが一番多く対応してる 3.される。StartComは対応ブラウザ書いてあるべ? >>179 ご心配、ありがとうございます。対応してることを確認しました。 持ち込みも無料でOKなので安いのを探してます。 >>180 StartComは様々なブラウザに対応してるんですね。 もうひとつ確認させていただきたいのですが、 お問い合わせフォームは web上でお客様が情報を入力してその後お客様と、自分宛に メールで情報が届くようになっています。 web上の暗号化はレンタルサーバーの管理画面から 秘密鍵と証明書のファイルをアップすればいいのだと思います。 1:メールの暗号化はメールソフトに同じ証明書を入れれば出来るのでしょうか? 2:StarSSL無料はMultiple Emails (S/MIME)に未対応とのことなので メールのSSLまでは出来ないということでしょうか? >>181 POP なり IMAP が SSL にのってるんじゃないの、いまどき。 メールソフトの設定は下記の通りでした。 https://www.verisign.co.jp/ssl/products/pdf/ssl_mail_tech_mail.pdf web上の暗号化のため取得したSSL証明書を使って出来るみたいですね。 多分レンタルサーバーの管理画面から設定するだけで webもメールも大丈夫みたいな感じです。 S/MIMEは特定の人たちだけの場合にやり取りするにはいいみたいだけど 不特定多数の人とやり取りする今回の場合は不要のようです。 とりあえずStarSSLを使ってみます。 SSL通信の設定を行っています。 レンタルサーバー側が設定を行ってくれるため 言われたとおり StartComで発行した 秘密鍵 証明書 CA証明書の3点を送りました。 秘密鍵と証明書は下記HPの説明を参考にメモ帳に貼り付け 拡張子をcrtとkeyで保存しました。 http://futuremix.org/2009/02/startssl CA証明書はインターネットオプション→コンテンツ→証明書→中間証明機関のなかからダウンロードしました。 送らなければいけないCA証明書がどれかわからないので インターネットオプション→コンテンツ→証明書→信頼されたルート証明機関の中からダウンロードしたものも送りました。 「一致しない秘密鍵/証明書のペア いくつかのフィールドが空であるか、無効な値が指定されています」 上記エラーが出たそうなんですが、何が問題なのでしょうか? あとお願いしてから数日経過しているのですが、 設定はそんなに難しいのでしょうか? >>185 CA証明書とは、中間証明書のことでしょうか? また、証明書はApache用、Windows IIS用、それに加えてmod_ssl用、OpenSSL用とか色色あるけど、 そこはレンタルサーバー会社に確認してサーバーに合う正しい証明書をStartSSLで発行したんでしょうか? それなら、設定さえ行えば直ぐに使えます。 また、インターネットオプションからダウンロードする証明書は必要ありません。 >>186 サーバ会社には http://futuremix.org/2009/02/startssl を参考にして取得したと伝えました。 サーバーにあうかわからないけど説明どおりに取得手続きをしたので 記事の通りApache + mod_ssl で HTTPS 通信ができる証明書だと思います。 サーバー会社も記事は見ているのでサーバーに合わないようであれば 言ってくるのではないかと思います。 (契約する前にURLを教えて大丈夫か聞いたときは大丈夫といっていました。) 中間証明書のことだと思います。 >>186 確認なのですが、 インターネットオプションからダウンロードする証明書は 中間証明書ではないということでしょうか? それとも中間証明書自体SSLの設定で不要ということでしょうか? (レンタルサーバー会社には送ってくれといわれました。) このページでも案内しといたら? ttps://www.startssl.com/?app=21 色々教えていただき、ありがとうございます。 レンタルサーバー会社にページを教えてあげたら すでに設定済みといわれました。 証明書を取得するときに住所等を登録したのですが、 サーバー会社に住所等を聞かれ サーバー会社でも登録してみるとのことでした。 SSLの設定ってそんなに難しいのでしょうか? こちらは証明書と秘密鍵ファイルを提出するだけで 普通は大丈夫なんですよね? (取得はマニュアルどおりにやっているので間違いはないと思います。) ここのレンタルサーバーで大丈夫なのだろうかと心配になってしまいました。 秘密鍵も送ってることで相手側には、送り主が初心者であることがわかって 説明が丁寧になる可能性が、、、無いことも無いかなw どこのレンタル鯖使ってるかも書いてくれてないから想像力働かせるしかないし、、、 秘密鍵がないと起動できないんだから送らざるを得ないだろうに。 むしろダメなのは客が取得した証明書を預るレン鯖屋の方だ。 まともなレン鯖屋というのはSSL証明書の取得代行までセットでやって 客が自分で取得した証明書は断る。秘密鍵の授受の問題もあるし、 客が同じ証明書で別のサーバを動かしたりするのも防がないといけないから。 そうでない時点で業者もクソ。それを選んだ客もクソ。 >>195 俺が知ってるところは全部まともじゃないのか。 取引先からクロスルート証明書がどーたらこーたらという転送メールがきた。 夏休み中だから休み明けに読むとして、なんだかめんどくさそうだな。 お前らさっさとrapidsslで一番安いところ教えろ >>4 あれ?59ドルになってる? あれ? 2年になってる?? >>206 あ?普通に考えれば小売だろ お前の頭の中では卸売業者の数>>最終消費者なんだろうな あ? って頭悪いの自分から表現しなくてもいいだろうに。 ベリサインのEVのページを見てたけど, 弁護士以外にも税理士公認会計士司法書士行政書士公証人の意見書でも 大丈夫になったんだね。 税理士は日頃から付き合いがあるから楽だな。 >>96 D-U-N-S Numberは多くの場合,登記情報から勝手に付番してるみたいで, 当社も例外ではなかったよ。 帝国データバンクのコードもあるから,たぶんこれだけで行けるかな,と 踏んでる。 D-U-N-S Numberの登録情報を更新できたから、EV証明書を申し込んでみたけど、 情報更新は日本のデータベースのみで、海外データベースの情報が更新される までに1ヶ月かかるとか書いてあるサイトがあるorz 急いでるわけでもないし、DNB以外にも確認の方法は定めがあるから、 いいんだけど、どうなるかな。 SSL常時接続ってフーンそういうのがあるんだぁと思っていたら身近にアッタ http://www.hellowork.go.jp >>220 Googleもトップ以下全部SSL接続になるよ。 >>220 Japanese Government ApplicationCA こんなルート証明書があって、ブラウザが対応してたのか。 サーバーの証明書チェーンが不完全です。署名者が登録されていません。承認しますか? ってOperaはこうだったけど、Chromeはそのまま通ったわw >>221 Geotrust +-Google Internet Authority +-*.google.co.jp だった。自社で証明書を発行できるなら楽だな。 お前ら、突っ込みどころはそこじゃない。 >>220 ハローワークが身近なのか。働け。 自転車駐車場を借りるときに勤務先または通学先までの経路を書く欄が あったから近くのハローワークまでの経路を書いておいた。 読んだ人がハロワ勤務だと思ってくれたかどうかは知らない。 自宅-(専用トンネル)-ハローワーク飯田橋 これでおk? EVの審査が進まないから,とりあえずRapidSSLを買って入れてみた。 1年で$9.95 https://www.sslmatrix.com/ssl-brands/rapidssl/rapidssl-certificate ていうかEVって半分以上は自己満足で実は大して売上に影響ない気がする。 なんとなく俺がやってみたいから申請してるだけで。 >>233 影響あるのって銀行とか大手メーカーくらいで中小ならrapidで十分だと思う 一年$9.95って、そこやすくていいね >>234 中小でもEV入れたら大手っぽく見えるからやってみたかったのさw >>234 確かに安いんだけど,サイトにもインボイスにも社名も連絡先も書いてない。 結構怖かったけど,使ってるのが2checkoutという決済代行会社で, 2checkoutの機能でpaypalが使えるからそれで払った。 結局sslmatrix.comの正体は不明のまま。 ドメインのwhoisも情報出してないし。なんなんだこれ。 証明書はすぐに発行されて問題なく使えてるけど。 >>236 (1次だと所在明かさないとなれないハズだから)代理店の代理店なのかな? 最近1次にはなれないから2次代理店になりたくて英語サイトあさってるんだけど なかなかそのクラスで卸してくれるとこない >>237 なるほどねえ。 日本のSSL証明書屋って顧客がすごく限られそうだから大変そうに見えるけど,, GmailへのPOP3メールインポートでSSL使用時に正規の証明書を求められるように なったのがきっかけで、StartSSLの証明書(Class2)を作成しました。 RapidSSLなど通常の証明書よりは高いけど、複数ドメイン運用しているから ワイルドカードやSAN使えるのは便利です。 StartSSLの証明書のSubjectには、作成したアカウントのメールアドレスが 記載されるという記述をブログで見かけたけど、正確にはドメインのValidateで 使用したアドレス(postmaster@など)になります。 (CSR作成時のO,OU,Subjectなどは無視されます) >>241 どこか安いところがあるの? だったら教えてほすい >>242 sslrenewals.comで、geotrustのEVを上の方にあるクーポンで2年で$225で 申し込んだよ。 審査のメールのやりとりは全部日本語で、元が日本語の書類(登記簿謄本 とか)は全部日本語のままで大丈夫だった。ただし、宣誓書みたいなの は英語でだした。確認の電話も日本語で日本の昼間にかかってきた。 自分だけ英語を理解できれば、書類を全部英訳したりする必要は ないので結構楽だった。 これからEV証明書を取る場合の準備 電話帳に掲載する→1週間ほどで104から確認可能になる 職業別電話帳にも掲載する→1〜2ヶ月でiタウンページから検索可能に 登記上の本店所在地と,実質的な本店所在地を一致させる 定款に英文社名の表記を定める→株主総会,社員総会議事録の整備,新定款作成 D-U-N-S Number検索で自社の情報を調べて,誤りがあれば訂正 ドメインのwhois情報に社名や連絡先を登録しておく これだけやっておけば,すぐに確認ができて発行されるはず。 >>244 TDB, TSRなどの外部信用情報会社の基本情報の情報更新もあるな。 GeoTrustはどっちも見ないはずだけど、いい機会だから更新しておいた。 日本企業のD-U-N-Sナンバー管理はTSRじゃなかったっけ >>246 そうそう。 でもTSR企業コードとD-U-N-S Numberは別で,情報もそれぞれ別。 TSR独自で取材している企業はTSR企業コードを持ってる。 ワイルドカード型の証明書って、 hoge.jp のほかに www.hoge.jp ftp.hoge.jp とかできること書かれてるけど www.hage.hoge.jp とか、サブドメインの更に下にホスト名かいてもいいの? https の場合はだめ。RFC 2818 Http Over SSL, section 3.1 で Names may contain the wildcard character * which is considered to match any single domain name component or component fragment. E.g., *.a.com matches foo.a.com but not bar.foo.a.com となってる。CN の解釈は利用するプロトコルの方で決めることになってるので、 https 以外ならいけるのがあるかもしれない。 >>248 最近は、ワイルドカードとSAN (Subject Alternative Name) の両方を使えるものもあるから、階層深いのは後者で。 >>252 さすがにこういうのはだめだよね? *.*.hoge.jp SAN に *. 使えるのか... Common Name : *.wikipedia.org Subject Alternative Names : *.wikipedia.org, wikipedia.org, m.wikipedia.org, *.m.wikipedia.org *.*. はだめだと思うけど >>254 自分もStartSSLで発行して使ってます。 ところでみんなはまだSHA-1? この記事みてSHA-256にしてみたよ。 ttps://www.verisign.co.jp/press/2012/pr_20120328.html >>255 ハッシュ関数もそうだが、RSA鍵の長さもな。 >>256 そんなにアクセスがあるわけではないけどopenssl speed rsaの 実行結果みて4096ではなく2048にしてしまった。 >>255 私もStartSSLです。発行し放題なのでついつい必要のないところまでSSLにしてしまうのが…^^; SHA-256 + 4096bits だったりします。速度より安全重視? 偉いおじさん、ちょっと教えて下さい VPSでIPアドレスを1つ持ってて複数のドメインを運営してて 例えば、AAA.comでSSLを使うと BBB.jpでは認証取れなくなるの? IPひとつに対して認証は1つ、みたいにどっかで見た気がするので 認証って何の認証? 証明書取るのにはIPアドレス関係無いよ。 使用時はIPアドレス1つにSSLドメインは1つだよ、逆引きで一致しないと 警告出るからね。 それは運用の仕方による。今はサーバーもブラウザもバーチャルドメインでのSSL運用に対応してるから。スマートシールとかは知らんけど。 詳しくは、バーチャルドメイン+SSLでぐぐれ あ、認証じゃなくて証明書か。 バーチャルホスト使ったテスト用サイトでstartSSLの証明書はセット出来た。 そんで本番用のサイトにrapidSSL申し込んだりしたらIP同じだから問題あるよな?って心配したんだ。 逆引きの件はじっくり調べてみる。 ありがとうございました。 証明書取るのにIPとか逆引きとか関係ないよ。 普通にWEBサーバでバーチャルドメインするだけなら今時は普通対応してるから大丈夫。 >>262 非対応ブラウザ結構なかったっけ? 切り捨てるつもりならいいけど、出来るだけ多くの人に見て欲しいサイトなら SSLサイトごとにIPアドレスをつけるのがいいかと >>266 Android 2.x のブラウザ[32] (Honeycomb for tablets と Ice Cream Sandwich for phones では対応) bアれ結構残ってbネいかな? IPベースのバーチャルホストが複数のSSL証明書が利用できないのは FQDNが決まらないとサーバ側がどの証明書つかっていいかわからないが FQDNが分かるのは複合してからという缶切りは缶詰の中状態なせい。 解決するには ・ポートベース(80,443ポート以外だと接続できないクライアント環境がある) ・SNI(対応してないブラウザが多い) 等がある。 SNI非対応で問題になるのは以下の通り ・IE6(いまさらどうでもいい気がする) ・XPの人(IE8でもXPだとダメ) ・android 2.x系の人 ・wii,playstation(どうでもいい) ・ガラケーの大部分(めんどくさいから細かくは調べて無い) 特に問題なのはandroid 2.xで 「2013年1月3日現在のGoogle Play Storeへのアクセス統計によるバージョンごとの世界シェア」で50%以上を締めてる http://ja.wikipedia.org/wiki/Android#.E3.83.90.E3.83.BC.E3.82.B8.E3.83.A7.E3.83.B3_2 世界中がIPv6対応になる日が先かSNIの普及(古い環境の駆逐)が先かって感じだな CA/Browser ForumのBaseline Requirement 1.0では、CAが発行する証明書について subjectAltName: 必須 commonName: 推奨されない(でも禁止しない) となってる http://cabforum.org/Baseline_Requirements_V1.pdf https://jp.globalsign.com/repository/baseline_requirements_ja.pdf ttp://co-akuma.directorz.jp/blog/2012/05/baseline-requirement%E3%81%A8%E3%81%AF%EF%BC%9F/ サービス提供会社の信頼性に依存するけど クライアント ↓ SSL なにかサービス ↓ SSLでproxy ポートベースのVH ってしてくれるサービスがVPSより格安であったらよさげだね >>272 ざくっと調べたところ「商号登記」ってのが手軽そう。で、商号登記簿謄本の写しとそれを英訳した物を資料として用意したりすんのかな? 後は自分で調べてみる。ありがとう。 あれ、商号登記あっても個人だとEVは無理だったと思う。 どこの認証局で出してる? ルート証明書入ってても確認メッセージが出る古い携帯があります OK押せばきちんとSSLマークも出て通信されますが、 比較的新しい携帯のように確認自体が出ないもんかと思っていましたが そういうもんなんでしょうかね? 具体的にはEquifax Secure Certificate AuthorityでSoftBankの810T ↓の"SSL証明書一覧"見る限りでは○になってるんですけど ttp://creation.mb.softbank.jp/mc/tech/tech_web/web_docandtools.html >>275 携帯の時間有ってる? クロスルート証明書の設定してある? >>277 携帯の時間、ドンピシャです! (始めに設定してたつもりが電池抜いたり指したりしてたら過去に戻ってしまっていました・・・) >>276 確認メッセージ自体は機種によると思いますが、 「このサイトは安全ではない可能性があります。接続しますか?」 というものでした どうもありがとうございました! 数年ぶりに携帯サイト弄ることになって色々情報を確認してみると、 auの旧800MHz帯関係で古い機種サポートしなくても良くなっていたり (手持ちの該当機種にSIMカード入れても圏外になるので始め故障かと思いました)、 携帯サポートもRapidSSLでほぼ十分(当時はThawte使ってました)になっていたり、 浦島太郎状態でした スマホ時代なので証明書に関してはあまり意識しなくてもよい時代になった感じですね 2010年問題(2012年問題)のおかげで どの会社の使ってもカバレッジ100%に出来なくなったから RapidSSLで十分だよね。 シールなんかあっても誰も見て無いなぁ >>279 当サイトは○○の高度なセキュリティ技術と証明書によってお客様の プライバシーや通信内容が強力に保護されていることを知っていましたか? ・知っていた ・今知った って項目をSSLサイトに作ればいい。 OpenSSLのインストールがうまくいかなくて困り、ここで質問しようとしたら、その前に自己解決しました。 http://www.shinbo.org/archives/631 ↑この通りにやったら、とりあえずOpenSSLの最新版(1.0.1e)の導入に成功。 次の目標は、Apacheを入れて、自己認証局を建てて、オレオレ証明書でSSLを利用可能にすることです。 うまく行かなかったら、またここで質問させていただきます。よろしく! お引き取り下さい。 あなたのような無能クズが来ていいスレではありません。 http://thinkit.co.jp/free/article/0706/3/7/ http://www.oss-d.net/apache2.2-php5.3 あたりの説明通りにやったら、テストサーバーでは、オレオレ証明書(ワイルドカード対応=*.ドメイン名)でSSLができるようになりました。 本番サーバー(さくらVPS)でやったら、https:// でページは表示されるけど、ディレクトリが別々になっているVirtaulHostのトップページが表示されず、ドキュメントルートのトップページが表示されてしまった。 httpd.conf、vhost.conf、ssl.confあたりの設定をいじっているけど直らない>< どうすれば直るでしょうか?アドバイスよろしくお願いします。 環境は、CentOS5.9+Apache2.2.3+OpenSSL1.0.1です。 <VirtualHost *:443> ServerName domain.com:443 DocumentRoot /var/www/html/domain.com SSLEngine on SSLCertificateFile /etc/pki/tls/certs/server.crt SSLCertificateKeyFile /etc/pki/tls/private/server.key </VirtualHost> こんなかんじですが、正常なページが表示されませんね〜>< >>283 どんな達人でも、最初はみんな初心者だった。 だから、私はどんなにスキルアップしても、初心者に親切にしてあげようと思っています。 皆さんも私に親切にしてください。よろしくお願いします。m(__)m >>287 アドバイスありがとうございます。エラーログを見て、改善を図り、トップページまでは見えるようになりました。 # pwd /var/log/httpd # ls ssl* ssl_access_log ssl_error_log ssl_request_logPHP5.4+CodeIgniter2を使ってるのですが、他のページが見えないのは、Rewriteルールの記述の問題みたいでした。原因の切り分けができたら、またこちらで質問させていただきます。 というか、エラーログみないレベルのキチガイがSSLとか10桁万年早い。 RapidSSLの証明書は一意に企業は低コストのSSL certificates.Theyがeコマースやセキュアログインエリアを提供するサイトの光のレベルを行うウェブサイトに適しています信頼できる、完全に機能する単一のルートを取得することができます。 ClickSSL - http://www.clickssl.com/ssl-certificates/rapidssl Nginx1.2.4+OpenSSL1.0.0で、オレオレ証明書のSSL通信ができました。 Nginxの設定は、Apacheと比べて、超簡単でした! Apacheのmod_rewriteは、正規表現を復習して、再チャレンジしたいと思います。 >>289-292 どうもありがとうございます。 example.comでwwwサーバ、メールサーバ、sshサーバを運営したいんだけど、 www有りのコモンネームで証明書を取得すれば、SANsの機能で www有り・無し関係なくSSL通信ができるという認識であってますか? >>294 example.com と www.example.com の両方がSANで含まれた証明書ならね。 でも、普通は www.example.com の証明書を取得したら example.com は含まれないと考えるべき。 追加料金で両方含めれたり、逆にexample.comは最初から勝手に含まれてたりとか、認証局によって違う。 >>295 example.com (wwwなし)の証明書って必要? ComodoのPositive SSLって安いな ttp://www.gogetssl.com/domain-validation/ Positive SSL CNがexample.comにSANでwww.example.com Rapid SSL CNがwww.example.comにSANでexample.com だったはず 認証局を立ててぼろもうけしたいんですが、 親にしたい認証局で何を買ってくればいいんですか? >>298 馬鹿なの? マジレスすると自分の作ったCA証明書を、 各種ブラウザやアプリやOSにデフォルトでインストールしてくれるよう 全世界に対して頑張って営業すればよい。 (1) RapidSSLで安いサーバー証明書を1個買う (2) 自分で中間認証局を作り、RapidSSLのサーバー証明書を割り当てる (3) 自分で、自分用の他のサーバー証明書を量産する ってことはできるものでしょうか? 要するに、自分で運営しているWebサイト(ドメインがいろいろある)を(1)でまかなうケチケチ作戦です(・∀・) ttp://e-words.jp/w/E4B8ADE99693E8AA8DE8A8BCE5B180.html ttps://www.verisign.co.jp/basic/pki/trust/index_4.html できない。 あなたのサーバ用の証明書は、そのサーバ(ドメイン)でしか使えない。 中間認証局用のキーは別に存在する。 まえに中間認証局用のキーが漏れたことがあって、大量に証明書を偽装する事件があったが。 >>300 証明書には「その証明書で他の証明書を発行していいか」 (中間証明書になってもいいか)というフラグがあり、 通常の証明書ではそれがfalseになっているので、無理。 具体的にはX509v3 Basic Constraints: CAの値。 もちろんそれも証明書の署名範囲内なので、無理矢理書き換えれば無効な証明書になる。 >>301-303 参考になりました。どうもありがとうございます。 中間証明書というのがないと、自分で公的な中間認証局を設置できないんですね>< →自分で中間認証局を作りたい場合、中間証明書ってのは、販売されているものなのでしょうか?(聞いたことないです) 普通の用途とは違って、特別なかんじがするから、販売されていたとしても、条件が厳しい・値段が高そうですね? >>304 いまいち理解してないようだが、認証局作るだけならopenssl使って誰も普通に作れるよ。 で、自分で作った認証局でいくらでも証明書の発行するのも自由。 自分のブラウザに「自分の認証局の証明書をインストール」さえしておけば、 自分で発行した証明書もブラウザは正規の証明書として認識するようになる。 そういう意味では発行し放題。 でもその行為(=得体のしれない認証局の証明書をインストール)は、 要は自分のブラウザのセキュリティを下げてるってことなのよ。 だって、google や yahoo の偽物証明書が返ってきたとしてもエラーにならないから フィッシングやウィルスの仕込みだってやりたい放題になる。 それが自分にインストール済みの認証局が発行したものだったらブラウザは信じちゃうわけだからね。 なのでテスト目的で自分で作った自分が信頼する認証局を使って自分でやる分には問題ないし。 自分がホンの欠片も疑いを持たないような全幅の信頼を置いている友人が立てた認証局を信頼するのであればやってもよいことになる。 まぁ、俺なら例え友人や家族だろうと素人が立てた認証局なんてインストールしたくないわ。 要は認証局とか証明書っていうのは、信頼の連鎖なわけよ。 俺が信頼すると決めた奴の言うことは俺も100%信頼する、という、さ。 公的な認証局になるってことは他人のセキュリティを支配可能になるということとほぼ同じ。 だから国とか特別な公的な団体とか色んな人間に日々監査され信頼された大企業とか、 特別に「信頼出来る組織」が運用してる認証局しか基本使えないし、使わないの。 OSやブラウザにデフォルトでインストールされている認証局ってのはそういう存在なの。 これだけ説明すれば個人が公的な認証局になるなんてことはほぼ不可能だと分かるだろ? ついでに言うと、 だったらその「公的に認められた認証局」の中に悪人がいたらどうすんの? って思うかもしれないね。 うん、勿論大変なことになる。 でももし一度でもそんなことをしたらその認証局は誰にも信頼されなくなるよね。 その瞬間から、世界中から「お前はもう信頼しねー」と思われ「あいつは信頼してはいけない」と言われる存在になってしまう。 現実にはそれによって何が起こるかというと、 全世界的にブラックリストな認証局として記録・公開される。 マトモなOSやブラウザなら、デフォルトインストールの認証局リストからそいつを排除するし。 その認証局の証明書をアンインストールするパッチを配布する。 そうなったらもうその認証局は実質的に存在できなくなるわけだ。 発行した証明書はブラウザで警告が表示されて誰も信じてくれない。 当然、証明書の発行を商売にしてたとしたら誰も買わなくなるから潰れる。 世界中から訴訟も起こされるかもしれない。 認証局自身も過ちを犯してしまったらそうなることが分かってるから、 全力で自分の組織を健全に保とうと努力するし、内部からも外部からも監査を徹底することになる。 それは監査を受けることはその組織にとって自分を守ることでもあるわけだ。 そういう目に見えない力が働くことによって、世の中の信頼の連鎖が今日も保たれてるのだよ。 分かった? 外部から不正侵入されて偽証明書を発行してしまったオランダの認証局は 信用を失ってその後破産しました。 >>297 へー安いね。 遊びで立てたサーバーでも入れてもいいかなって値段 >>308 認証局に悪人がいたわけじゃない(マヌケがいたかどうかは別)けど、 VeriSignがMicrosoftの証明書発行でやらかしたことはみんな忘れてあげてるよねw http://internet.watch.impress.co.jp/www/article/2001/0323/verims.htm http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20010323/1/ DigiNotar(>>309 )・Comodo(>>92 )・TURKTRUST(>>301-302 )がやらかしたことは忘れられてない気がする。 どの程度の監査がされてるか興味がある人はWebTrust for CAとか Baseline RequirementとかRFC3647とかを調べたらいいと思うんだ あと>>298 にマジレスを追加するなら親にしたい認証局(の運営会社の)株を 50%越のレベルで超大量に買うのもいいと思う。ぼろもうけできるかは別として。 アメリカの機関がインターネット上の暗号を解読していたってニュースが 流れていたけど、SSLっていうのは大丈夫なのですか? 盗聴しやすいようにSSLは使わないサービスとかあったなw あれってサーバ側に平文の状態のデータをキャプチャするための ソフトを入れるのかな(´・ω・`) 別にアメリカの機関じゃなくても 多くの大学やら、ハッカー集団がコンテストで破ってんじゃん。 結局イタチごっこなんだよ。 強度の高い暗号→処理速度向上で簡単に破られる→より強度の高い暗号化→ ハッキングに使うPCの処理能力も上がってるけど、 暗号化するためのPCも処理能力上がってるから 時代にあった暗号化技術を採用していけばいいって話だよ。 COMODO JAPANっていう所がスパムメール送りつけてくるんだけど 仮にもセキュリティ企業がスパムって頭おかしいんじゃないの? 勝手に送りつけてきて配信停止はこちらじゃねーよ evintl-ocsp.verisign.com ocsp.verisign.com crl.usertrust.com www.msftncsi.com SSL証明発行頼んだが、対応が遅すぎて呆れた。 メールしても全然、回答こないし・・・。 DUNS (International)ってどこで取れるんですか?そもそも国内から取れるものですか? SSL証明出すのに必要らしいんです >>322 金返してもらえば? 代理店で金払ったあとは発行する会社とのやりとりになるから 通常問題ないと思うんだけどなあ。 代理店経由なんですが・・・何故か直接シマンテックとやり取りしてるんですよ。 代理店に頼んだ意味がないですよね。 >>326 それが普通 代理店は売るだけだから、 どの代理店から買ってもその後は均一のサービスを受けられる。 代理店を通さずに、直接、結局やりました・・・。 値段がえらく安かったので驚きです。 代理店って結構、マージン取るんですね。 >>328 それなんか騙されてないか? 普通は直接申し込んだほうが高い。 http://www.namecheap.com/ で申し込んだけどえらい安かったですよ 騙されたのかな・・・・。 >>330 namecheapも代理店だけど。 値段は普通じゃない? >>328 は代理店への登録代行業者とかを使ったのかなw だったのかな〜糞高かったですよ。 RapidSSLでも国内の代理店だと2700円、nemecheapだと9ドルぐらいでしょ。 ぼったくりですよね >>333 そのくらいが相場なのかな。 確かに、内外価格差はかなりある商品だよね。 素人向けの商品じゃないし、ボンボン売れる商品でもないから、 ビジネスを成立させるためにはそのくらいの値段になりそうではある。 グローバルサイン、CloudFlareが本鯖タイムアウト画面出しよる 証明書更新でけんワロリッシュ StartSSLのClass2を検討しています。 個人認証は350日間有効、その間に発行した証明書は2年間有効 とのことですが、個人認証の期限切れ前に証明書を更新すれば 実質3年つかえるということでしょうか。 同じCNの証明書はrevokeするか期限切れ前XX日にならないと 発行できないなど制約はあるのでしょうか? >>333 探せば国内で1050円〜ってのがあるよ FNNニュース: 巧妙な手口のインターネット通販詐欺が急増しています。 ttp://www.fnn-news.com/news/headlines/articles/CONN00260212.html >>「本物のサイトで、買い物かごに入れるってやった時点で、こういった鍵マークがつき始めます。 >>安全に暗号化して通知をしていますよというマークですね。 >>しかし一方で、偽サイトの方に関しては、1つ、買い物かごに入れてみますと、 >>買い物かごに入れても、特に鍵マークがつかないということですね」 じゃあ俺も fnn-news.net で鍵マークの付く本物のサイトでも作っちゃうかな >>336 その通り。認証が有効な期間と証明書が有効な期間は別。認証が有効な間は証明書を発行し放題で、証明書は発行日から二年間有効。 シマンテック、ハッシュアルゴリズム「SHA-1」利用停止までのロードマップを解説 ttp://www.atmarkit.co.jp/ait/articles/1402/05/news117.html おまえらHeartbleed対応したか? 面倒くさかったけど、reissueもした。 OpenSSL更新したのにApache再起動してないアホの子はいませんね? redhat6.4は対象外みたいな書き込み見たけど、up2dateしたら、openssl1.0.1になってたから、お間違えなく。 >>348 それなんてDebian? にしても、StartSSLも再発行無料にしてほしいな。 revokeは本来有償のところ無償でやってくれたという報告あるけど 既にclass2認証切れてるから新たに発行できないんだよな・・・。 うーむ・・・ Please remove StartCom Certification Authority root certificate https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=744027 0.98使ってるんだけど、1.0の最新版にすべきなのかな(Apache2.2) >>346 3.05usdからになってるけど、 この値段はどのcertを買えばいいんだろう? >>354 アカウントページにもその価格の無いよ。 だけど、アカウントのページからだともう少し安い($2.99/yr)のがある >>355 これのこと? Do you want cheaper price? Create Free reseller account and get PositiveSSL for 3.75$ >>356 違う、リセラーでなくて普通のアカウント GGSSL Domain SSL 1-5年 $4.00 $7.25 $9.65 $12.35 $14.95 BIG-IPの勉強をしているのですが、 クライアント証明書で教えて下さい。 クライアント証明書は、BIG-IPで作るのではなく、 サーバー側で作るのでしょうか? また、サーバー側で作るクライアント証明書は オレオレクライアント証明書になるのでしょうか? BIG-IPは別に関係ないじゃん。 クライアント証明書は、認証局で作成する。 ユーザーはCSRを認証局に提出して証明書を発行してもらう。 CSRの作成にはユーザー側で事前に秘密鍵を作成しておかなくてはならない。 性器の認証局で作成された証明書以外は、オレオレ証明書になる。 クライアント証明は、サーバサイドで本物と認識できれば、私製でも支障はない。 startsslって日本のスマホには未対応なんだな 使うまで知らなかった >>363 日本キャリア向けのだけわざわざ抜いてあるの? GoogleがSHA-1証明書を利用するサイトに警告を表示 ttp://googleonlinesecurity.blogspot.jp/2014/09/gradually-sunsetting-sha-1.html ttps://www.toritonssl.com/info/2014/2014_09_19.html ttps://jp.globalsign.com/blog/2014/google_warnings_sha1.html GeoのRapidSSLワイルドカードにしたった さて色々やらねば ssls.comからcomodo positiveSSL 5yearをおよそ$25で購入。JNBのカードレスVISAが使用可能だった。 安上がりで素敵。 ttp://japan.zdnet.com/security/sp/35055409/ SSL3.0オワタ >>371 XPと共に終わったと思うが、いまだにXP使いつつけるヤツいるからな。 SSLに関しちゃIE6と並んでガラケーが相当あるからレガシー切りはなかなか厳しいよ SHA-1署名足切りと並んで頭痛い話に ウチは全部ぶった切ったったw 古いやつ? そんなんしらんw king SSL が,、900円 RapidSSL は 1,080円 このあたり誰か使っていませんか >>379 どこ使っても同じ うちはRapidワイルドカードしたけど 厳密な手続きや審査を経ない証明書なんて たいしてオレオレ証明書と変わらないんじゃね 今も無料のやつあるけどさ 俺以外の誰かが証明している事が重要なんだよ。 実態がオレオレ程度でもね。 まあオレオレじゃ他人に使わすのは現実的ではないからねえ 個人よりもルーターの設定とかそういうほうが切実かもしれない >>381 各種ブラウザの証明書ストアにこのRoot CA登録されるの? 証明書取得したきっかけは>>240 なので、googleが認めてくれないとだめだな 2012年製以降のガラケーもドコモ以外はSSLからTLSに移行してるみたいだな アマゾンでガラケーが使えなくなったって人は TLSに移行出来ないくらい古い機種の人らか iモードでもtls対応になったiモードブラウザ2.0機種は2009年夏モデルからみたいだ それ以前のモデルでもフルブラウザ使えばTLS使える 証明局の乗り換えって大変ですか? 例えば今StartSSLで始めて、来夏にLet's Encryptを利用するとか >>390 面白そうなサービスが始まるんだな。証明書の管理もいらなくなるし、 暗号化できればいいやって部分は全部ここでよくなるかも。 これが始まったら、RapidSSLとか安売りして日銭稼いでるディーラーは ヤバいんじゃね? SSLを単純に暗号化目的で使っている人もいるからねぇ >>393 オレオレでいいんじゃないの >>392 >RapidSSLとか安売りして日銭稼いでるディーラー 現状でも商売になってるのかなあ? >>394 オレオレだと警告出るじゃん 警告が出るのと出ないのとでは大きな違いだよ >>395 ああ誰かに使わせるならそうだね OVってもはや意味ないよねえ >>394 いやいや、盗聴の防止が暗号化の目的だとすると、 オレオレは盗聴者が居ないことを保障できないから駄目だよ >>398 事前に確実な方法でクライアントにオレオレ証明書を渡して インストールしてもらえば大丈夫じゃないの? 相手を第三者に証明してもらう必要性がなければいい。 クライアント証明書で認証していて、失敗した場合に任意のエラーページを表示する方法ってないのかな? >>400 パソコンならいいけどタブレットとか携帯だと厄介 安くておすすめってなるとやっぱりRapidSSLになるのかな。 これってどこで購入しても同じなのだろうか。 >>405 ものは全部同じ。ドメインが複数あるなら、StartSSL もいいかも。 認証が面倒だけどね。 ssl/tls にしてなかった事が主な原因でこんなひどい目に遭った。 ってお話を教えて下さい。 Googleで優遇されることと政府監視を避けられるのが一番のメリットだと言われてるよ。 入れてないから被害にあうということはほとんど無いはず。 >>407 なんのために? なせ゜あるか考えたらどうなるかくらい想像できない? >>408 ご回答ありがとうございます。 >>409 平文で流れていると、パケットキャプチャーされると一発だとか、man in the middle 攻撃とか、暗号(ssl/tls)がらみでは色々な危険性が指摘されており、 私も https じゃない URL でクレジットカード番号入れたりするのは怖くて出来ないんですが、 現実問題として 膨大なインターネットトラフィックを本当に解析しているひといるの? man in the middle って理屈は分かるけど本当にやってるひといるの? 泥棒が本気になったら、玄関に鍵を掛けてあろうがなかろうが、侵入され盗まれちゃう可能性ってさして変わらないんじゃ無いの? 理論、理屈は分かるし、暗号化していないと不安で仕方ない自分がいるけど見えない幽霊を必要以上に恐れていない? などが質問の理由です。 私を恐れさせてくれるお答え、お待ちしています。w >>410 例えばの話をするけど。 日本には家が膨大にある。 鍵のあいているところを狙って入る奴なんているの? はYesだ。 鍵をかけ忘れたら必ずやられるわけではないけど、 鍵をかけてれば防げた被害は結構ある。 > 膨大なインターネットトラフィックを本当に解析しているひといるの? 特にインターネットに限って言えば、膨大なデータなんて解析しなくていい。 条件で振り分けるだけで、機械的に目的のものが抽出できる。 空き巣のように自分でリスクを犯す必要すら無い。 > 理論、理屈は分かるし、暗号化していないと不安で仕方ない自分がいる 警戒するのは必要なこと。 あとは、流すデータは本当に隠す必要があるかを考えておけばいいよ。 どうでもいい情報まで無理に暗号化する必要はない。 けど、重要な情報は警戒しておいて間違いじゃない。 パケットキャプチャは読めるデータしか読まない。 言い換えると送信時間や送信元先は隠しづらい。 まあキャプチャーしてると会社の隣のやつのftpログインが丸見えとか プロバイダで問題が出ててログ取ってたらまるまる入ってて処分に困ったとかあるなあ >>411-413 ご意見、ありがとうございました〜。 法人のECサイトに使うSSLに無料SSL使うのはありですか?なしですか? サーバ代含めて予算が年間2万円しかありません。 サーバに1万円ぐらい、ドメインに3000円ぐらいとすると、あと7000円ぐらい余裕はあります。 >>415 個人情報保護法の個人情報取扱事業者にも該当しないような小規模サイトなの? 決済を代行業者に丸投げなら特に問題ないかと。 >>416 年2万しか予算がない時点で、決済代行なんか頼めないと思うが……。 >>415 7000円も余裕があるんなら、RapidSSLの安い奴を入れればいいじゃん。 >>415 さすがに無料のSSL使うのは信頼性の面でどうかと思うが・・・ どの程度のサービスが一般的なのかは 実際に色々なECサイト回って自分で判断すべき。 自社のECサービスに求められる機能と品質と比べて 満足できる範囲で安いやつを選ぶしか無いと思う。 >>416-418 ありがとうございます。宣伝目的でECはオマケの小規模なサイトです。 商品は10点未満で、推定購入者数は1日3人以下で年間1000人です。 クレジットカード決済を使うと赤字になると思うので、銀行振込で対応する予定です。 RapidSSLで調べてみます。ありがとうございます。 ★マインドコントロールの手法★ ・沢山の人が偏った意見を一貫して支持する 偏った意見でも、集団の中でその意見が信じられていれば、自分の考え方は間違っているのか、等と思わせる手法 ・不利な質問をさせなくしたり、不利な質問には答えない、スルーする 誰にも質問や反論をさせないことにより、誰もが皆、疑いなど無いんだと信じ込ませる手法 偏った思想や考え方に染まっていたり、常識が通じない人間は、頭が悪いフリをしているカルト工作員の可能性が高い 10人に一人はカルトか外国人 「ガスライティング」で検索を! ...... Symantecが海外経由のSSL購入の場合も日本だけ価格を変えるみたいだね。 要は日本向けのみリセラー価格変更。 2次でやってる奴らはまだ聞いてないと思うけど。 超強気の価格設定だった。殿様商売万歳。 ビットコインをはじめよう 1000円分のビットコインがもらえます! https://bitflyer.jp/gift/fn0tlipl とにかく一応もらっておくといいです。 ビットコインをはじめよう 1000円分のビットコインがもらえます! https://bitflyer.jp/gift/fn0tlipl とにかく一応もらっておくといいです。 >>422 https://support.servertastic.com/japan-region-pricing/ https://support.servertastic.com/reseller-japan-region-pricing-faq/ 対象: - .jpで終わるドメイン名 - EV (Extended Validation), OV (Organization Validated)のときは日本で登記してる組織 - IPアドレスレンジが日本 RapidSSLでよくて.jp以外のドメイン名つかってて、一時的に海外VPSにAなりMXなり向けられるやつなら回避可能っぽいな RapidSSL ごときに$80 も払うんなら、Let's Enctypt でいいや。 各ブラウザとも、CA証明書のっけてくるだろうし。 来年はCOMODOに戻るかみたいな感想だけど 他に安くておおむね使えるCAというとどこらへんがあるかね。 もうStartSSLでいいんじゃね? 認証局として云々はアレだけど、実用上はほぼ問題無いと言ってもいいだろうし。 Let's Enctyptでもいいよね。 よっぽどの理由が無い限り、無料の証明書を使うって言う流れになるんじゃねーかな? 数十%値上げとかならわからんでも無いけど、日本向けだけ最大約10倍の値上げとか、 正気の沙汰じゃ無いよな。なんか日本のシマンテック内にキチガイがいるんじゃね? そのうち Let's Encryptも日本だけ有料とか言い出したりしてな スレ違いで無ければ&知見がある方がいれば教えてください…。 Symantecや関連会社(ジオトラスト等)のSHA2移行説明ページを見ると、Android 1.5以降が対応してると載っています。 http://www.symantec.com/ja/jp/page.jsp?id=ssl-sha2-transition ただ、他の認証局をサイトを見るとだいたいAndroid 2.3以降で対応と書いてあります。 実際のところがどうかとか、Google側の資料があるか等ご存知の方いらっしゃいますか。 ブラウザでのサポートが終了するのをきっかけに急に盛り上がってきている感じなのかな。 POODLE対応でもサクッとiモードのサポートを切ったコンテンツも多いですよね。 古い実装のウェブサーバやSSLオフロード系での対応が難しいのかな。 何をいまさら騒いでるの?って感じだな。 自宅サーバ管理者なので数年前にSHA-256に移行済みですし。 自宅サーバの板だから殆どが移行してるわな 新しもの好きも多いと思うからw SHA1かつ2017年以降有効な証明書使い続けてるとChrome41から赤い警告になるって話だったのに 南京錠が消えて白いだけ(Chrome40と変わってない)な気がする。 方針変わったのかね。 RapidSSLが4倍近く値上げされたのは分かったが これから取得・更新する証明書だけの話じゃないのん? よく分からんがシマンテック死ねってことでいいの? 代理店から追加のメール来て発行済のは問題無いらしいことがわかった。 次どうするかな もうちょいしたらフロンティアなんたらが無料証明書配りだすだろうけど モバイルは全滅するのかね >>422 ,>>425 の続報 servertasticはJapan Regionちょっと値下げした ttps://twitter.com/servertastic/status/589106531548864513 それでも高い 日本向けSSL証明書販売について ttp://www.rapid-ssl.jp/rapidssl-news/archives/65 1個のドメインに対してSSL証明書を複数買えるの? たとえば、www.baka.comドメインで、ComodoとRapidSSLを2つ、来月から一年間。 上位がぶつからなければ購入できますか? ε ⌒ヘ⌒ヽフ ( ( ・ω・) ブヒ しー し─J 同じ認証局からでも買えるけど…負荷分散のときとか。 >>456 負荷分散用にOUだけ変更して同じCNの証明書購入したのを思い出したが 同じ証明書を複数のサーバでつかえない理由が思い出せない…。 最近は負荷分散装置自身でSSL終端せるほうが主流なのかな。 少し前に見たら、みずほオンラインが有効期限の違う証明書2つ?設定してたな。 SHA-1署名の場合に有効期限みて警告出すChromeの仕様で、 アクセスすると南京錠アイコンが緑になったり黄色になったりしてた。 今は期限短い証明書に入れ替えてるかもしれんが。 >>455 ****.baka.com で分散させるなら、ワイルドカード対応の証明書を買う必要がある。 複数のサーバで同じCNの www.baka.com を使うなら、それぞれに1つずつ証明書を買う必要がある。 もしくは、(ComodoやRapidSSLは未対応だが) マルチプルサーバー対応の証明書であれば最初から複数台のサーバで使える。 baka.comって20年も前から保有されてるのな 購入はできるんですね。 ありがとうございました。 これから、ComodoとRapidSSLとStartSSLの計三個申し込んできます。 ちなみに、分散用ではなくテスト用です。 ヘ⌒ヽフ ( ・ω・) dd / ~つと) 無料のやつとほんのわずかでも有料のやつとで、具体的に違いある? Comodo PositiveSSLってあの値段でECDSA証明書発行してくれるんだな 試しにECDSA 256bitのCSR突っ込んでみたら普通に発行された >>467 中間証明がどうしても分からない。 特に入れなくてもwebは見えるんだけどopenssl s_client -connect ではエラーするt >>468 ブラウザに中間証明書も入っているのでは? GoGetで買ったcomodoをさくらインターネットのレンタルサーバに(SNI証明書)入れてテストしているのですが、AndroidのChromeで警告が出てしまいます エラーメッセージがコピペできなかったのでスクリーンショット貼ります http://i.imgur.com/TNPZomn.jpg 解決方法(サイト閲覧者の手を煩わせることなく、エラーを出さずにSSL接続を提供する方法)を教えてください。 こっちは問題ねーぞ http://imgur.com/zeeKFve.png 2chMate 0.8.7.11 dev/LGE/Nexus 5/5.1.1/LR 機種とか泥のバージョンによるのかもね ページ更新したらダメになったわ VPSの方で設定ミスってるとか? https://help. さくら.ad.jp/app/answers/detail/a_id/2326 ----- インストール可能な証明書 本サービスにおける独自SSL機能はシマンテック・ウェブサイトセキュリティ 、 セコムトラストシステムズ、 GMOグローバルサインが発行するテスト用のサーバ証明書にて 動作を確認しています。 その他の証明書では正常にインストール、及び動作しない場合も ありますのでご注意ください。 ----- なんていうのもあったけど、共用レンサバはCOMODOのCA証明書は自分じゃ入れられないのかな。 >>475 >>476 中間証明書!そういうのもあるのか ちょっとシマンテックのナレッジベースのSO22877読んできます >>477 ここでテストできます。 https://www.ssllabs.com/ssltest/ Do not show the results on the boardsにチェックを入れると 結果が公表されなくなります。 >>478 やってみましたが、総合C判定でした。 弱いDH KeyでB判定 TLS1.2が推奨されているが1.0しか対応してないためC判定 リファレンスブラウザでForward Securityがサポートされていないとのことでした。 http://stackoverflow.com/questions/11340298/certificate-trusted-on-pc-but-not-in-android >ドメイン+中間+ルートを:使用しているものをウェブサーバに応じて、すべての証明書を指定します(ドメイン証明書、中間およびルート) >またはために、1つ(nginxのための例)にそれらを結合する必要があります。SSHターミナルでこれを行う簡単な方法は、次のように入力して、次のとおりです。 > >猫domainfile intermediatefile rootfile > TARGETFILE テキストエディタでただ結合するだけで良さそうなので、後でパソコン起動した時にやってみます。 中間証明書とっかえひっかえしてたら正常になったみたいです。ありがとうございました。 >弱いDH KeyでB判定 これはまだ logjam から日が浅いし 1024bit DH が WEAK だという認識も浸透してないから仕方ないけど >TLS1.2が推奨されているが1.0しか対応してないためC判定 >リファレンスブラウザでForward Securityがサポートされていない これは駄目だろう さくらのデフォ設定がこんな糞なのか? 自分で設定した結果がこれなのか? 同じく一部のAndroidのchromeで この接続ではプライバシーが保護されません が表示されるようになったのですが sha-1からsha-2にすれば直りますか それともbind9.xの影響でしょうか >>429 無料SSLで Class1一本 か、オレオレ証明書一本が 正解だね >>430 確かに販売しないと書いてるな >>484 このスレ的にはSANやワイルドカードの証明書で遊びたい人もいるでしょ CNを適当な文字列にしたオレオレをSNIのデフォルト証明書として使ってる startSSLの秘密鍵までおまかせで作ってくれちゃうウィザードはちょっと… NSA大喜び 通信の相互認証はいいから、通信の暗号化だけしたい場合どーすればいいの? SSLは認証局への登録がめんどくせーんだよカス なりすましの可能性は目をつぶって、盗聴の恐れはなくしたいって場合の話 それともそんな中途半端な要求あんの?ってのが大半のお方の考え? sshの共通鍵認証程度のセキュアさでいいから手軽に暗号化できるhttpないの? >>493 なりすまして通信を中継すれば盗聴は簡単。人はこれをMITMという。 自分しか使わないならopensslでルート証明書作ってインスコすればいいんじゃないかな。 サーバ証明書、単独・ワイルドカードどっちも高杉 co.jpなドメインの購入で登記とか確認するー、ってわけでもないのになんでこんな高いの 昔に比べりゃわずかに安くはなったが ルート証明書に採用されてるのがベリサインだけですって時代でもないのに >>498 そう思うなら、RapidSSLとか、PositiveSSLとか、StartSSLとか使えばいいだけでは? StartSSLのClass 1(無料のやつ)は商用はダメというライセンスなので注意。 認証局の秘密鍵を厳重に保管するにもコストはかかるわけだから全く無料というわけには行かないが 十分安いと思うけどね。今でも高いと思うならいくらぐらいが適当だと思う? >>500 これよく言われるけどオフィシャルに書いてあったけ? ごめんPolicyのPDFの3.1.2.1に書いてあった、、 RapidSSLの1万円ぐらいのワイルドカード使ってるけど特に問題ないよ 俺の知識が間違ってて *.domain.abc の * 部分は何でもOKと思ってたけど、 ???.*.domain.abc はダメだって言うの初めて知った。 サーバー証明書の無料配布プロジェクト「Let's Encrypt」、最初の証明書を発行 ttp://itpro.nikkeibp.co.jp/atcl/news/15/091703018/ 2015年9月14日、最初の証明書を発行し、同プロジェクトのWebサイトに導入したことを明らかにした。一般への提供開始は2〜3カ月以内を予定。 今回の証明書のルート認証局はISRGである。ISRGは、信頼できる認証局としてOSやWebブラウザーに登録されていない。 1カ月以内に、一般的なルート認証局とのクロスルートにより、エラーメッセージは表示されなくなるという。 >>504 ワイルドカードはサポートしないらしいけど、SANもだめ? >>505 SANsに対応するとForumかサポートのFAQに書いてあった気がする。 ググったらでてくると思う。 無償で利用できるSSL証明書発行サービスであるLet's Encryptで証明書を発行してみた ttp://dev.classmethod.jp/server-side/lets-encrypt-beta/ オレオレ証明みたいだけど。 就労移行支援事業所は、利用者1名×1日で行政から1万円前後の補助金が出てるんだよね。。 let's encrypt 12月3日からPublic Beta に。 まともに使えるようになるのかな。 90日の期限だし自動更新というのも怪しげで 期待してもよいものなんだろうか Program Files\CSR\CSR Harmony Wireless Software Stack cert_install.bat @ECHO OFF cd . call certmgr.exe /add HarmonyTest.cer /s /r localMachine root call certmgr.exe /add HarmonyNewTest.cer /s /r localMachine root Harmony(Test).cer HarmonyNew(TEST).cer bluetooth bluetooth追加後、証明書が書き込まれる。 https://www.ssllabs.com/index.html TLS 1.0、Triple DES / 168 ビット暗号 (高); RSA / 2048 ビット交換 kb3081320 WEPOS および POSReady 2009 のセキュリティ更新プログラム (KB3081320) schannel.dll 5.1.2600.6926 (xpsp_sp3_qfe.150921-2029) TLS / SSL Security Provider そういえば・・・Win10の証明書エクスポートウィザードの 「証明書のプライバシーを有効にする」ってどういうパラメータ? >>509 Let's Encrypt はまだクローズベータだけど既にオレオレ証明書じゃなくなったみたいだよ https://letsencrypt.jp/ > Let's Encrypt のローンチスケジュールは延期されてきましたが、2015年12月3日 に Let's Encrypt 公開ベータプログラム(Public Beta Program)が開始される予定です。 とのこと Let's Encrypt はレン鯖板に専用スレ立ったよ 【全ブラウザ対応】 無料SSL/TLS Let's Encrypt http://peace.2ch.net/test/read.cgi/hosting/1448874075/ スレタイ通りの認証局ボロ儲けの時代は早くも終わったな そう、let's encrypt によってね オレオレ証明書使ってたヤツがそれを使うようになるだけじゃないの? >>518 ラビットSSLとかの格安系使っていた人もLet's Encryptに流れると思うよ どっちにしろドメイン名を認証しているだけのDV証明書であることに変わりないんだから無料の方がよいし Let's は、ブラウザ Mozilla Firefox を作っているモジラ財団とか、 ネットワーク機器大手のシスコとか、 ネットワークインフラ大手のAkamaiとかが出資している大規模なプロジェクトだから、 無料といっても、商用の認証局と同等に、安定性・信頼性も高い 有効期間が90日というのが気になるけど、中途半端に長くて手順を 思い出しながら手動で更新するよりも、自動で更新したほうが 結果的にはよさそうだな。 >>521 中国のってあれね。3年のを出してくれるらしいけど、さすがに嫌。 3年なら\3,000位でcomodoでなら取れるんでしょそれぐらいは出すわ >>522 ちょっとググれば、3年で$15.00ってのがある>Comodo Let’s Encrypt がパブリックベータになったのに、このスレは盛り上がらないね。 >>524 だって Let's Encrypt はレン鯖板に専用スレあるし…… StartSSL より Let's Encrypt のが良いよ StartSSL は、非商用利用以外が禁止されている上、破棄証明書の発行で儲けるという悪質なビジネスモデル しかも、証明書管理サイトにログインするための証明書が1年しか有効じゃなくて、 それとは別に証明書の期限(1年)があるのがややこしい まあTLS1.0ですら危なくなりそうな御時世に、バージョン問わない総称としてSSLと呼び続けるのがどうかという話はあるな。 >>527 仕組みがわかりにくい以外、特に不都合はないでしょ? 少し前にあった脆弱なキーで生成された証明書の時の対応を批判してるんだろうけど revokeなんて通常使うことないので困らない。 StartSSLの商用サイト禁止ってどこまでが駄目なの? Google AdSense 貼って稼いでいたら商用サイト? 商利用禁止って商品解説のページにないね… アドセンスくらい気にしなくていいんじゃね? sslというよりtlsという呼び方になるという動きはあるな。 http/2の件もあるし1.0と1.1はどうなるんだろう。 証明書そのものを使っての商売がダメなんでないの? 申し込まないと規約読めなさそうか https://www.startssl.com/policy.pdf 3.1.2.1, 3.2.2.1.2あたりかな、該当するのは。どちらも制約があるのはclass1のみ。 ・個人に対して発行するもので非商用利用に制限。 ・shop, credit, finance, bankなど商用と推測されるキーワードを含むドメイン名の証明書は利用不可。 Let's Encrypt いつ本格的に運用なんだろうね。 >>542 商用利用できるだけの品質であるとして法人が安心して導入可能になる 無料とはいっても、ブラウザ Mozilla Firefox を作っているモジラ財団、 ネットワーク機器大手のシスコとか、 ネットワークインフラ大手のAkamaiなどが開発チームに入っているプロジェクトだから、 「ベータ」が取れたら、安定して継続してサービスを提供できると考えて良いと思う(有料の認証局と同様の信頼性と考えて良いと思う) ただ、今は「ベータ」だからビジネス向けには使う段階ではない ドメイン認証でビジネス利用って。得体の知れない相手とは取引したくない。 >>546 OV証明書というのはEV証明書を引き立ててよりプレミア感を出すという認証局の儲けの為にしか役立たない そもそも、CPSを機械的に検証できないので、技術的にはEV以外の証明書に格付けすることが無意味なのである ってことで、年3〜5万円支払う余裕のある企業ならEV証明書 あんまり余裕なかったらDV証明書で決まりだ OVなんて中途半端 証明書が、DV証明書 か OV証明書 かをどうやって一般ユーザーが見分けるのが考えて欲しい わざわざ証明書を表示させるなんてことはマニアしかしないし、 サイトシールなんてのは詐欺師だって画像コピーしてそれらしいものを貼り付けてるから使うべきではない(サイトシール自体ゴミ) ってことで、素直にアドレスバーが緑に変色するEVにすべき RapidSSLのワイルドカード使ってた(過去形)けど。 発行元(trustico)が無料再発行すると言ってるのに、 断固としてSHA-2への切り替えに対応してくれないから、 2年分損したけど、Namecheapのcomodoで取り直した。 >>549 対応してくれなかったのは、e-ssldirectね。 2度と使うことの無い会社だよ。 再発行オプションがない場合、再発行(SHA-2)は出来ません。 新規にてお申し込みいただく必要があります。 弊社では、再発行オプションの有無をつけることにより 他社との商品の差別化を図っております。 これは、弊社と取引をしている認証局との契約に含まれているため、 再発行オプションがない場合は、再発行することは出来ません。 弊社の認証局は、下記の会社になります。ご不明な点がありましたら、 トラッキング番号を添えて、直接下記認証局へお問い合わせください。 https://www.trustico.com/ ・アドレスバーがおかしいぞ(汗 ・いかなる理由でも、再発行できないとの返答 ・RapidSSLから、無料再発行してるから、代理店に言いなさいとの返答 ・対応変わらず ・RapidSSLのサポートから、trusticoで手続きをせよとのこと ・trustico、リセラーに言いなさい ・先の返答 ・再度trusticoの返答は、こちらからもリセラーに連絡しておくから、リセラーのアカウントからオーダーしてくれとのこと ・半年経ってもレスなし ・他社との差別化だって言うし、もう相手するのやーめた 堺市に、ある、コーポ福知苑Uの大家の、悪事を…あ、並松町やったかな。こいつ等、最低! まず、盗撮をして女の人の写真をマニアに、売り!それをネタに金品を取る。金が、取れない場合は、 その写真をマニアに売り金に、する。最悪!こいつ等、私、今!ここの大家に、そうして、脅されています。 まだ、殺したる!オマケにも!娘から金を取る。私が、好きな人に、取り付いて、犯したる。まるで、集団ストーカー。 StartSSL がサイトを刷新した。 組織認証が、Class 3 になって、3年有効な証明書が発行できるようになってる。 個人認証は従来通り。 TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 2048 ビット交換 sha1RSA CN = avast! Web/Mail Shield Root O = avast! Web/Mail Shield OU = generated by avast antivirus for SSL/TLS scanning https://my.softbank.jp/msb/d/top TLS 1.0、RC4 / 128 ビット暗号 (高); RSA / 2048 ビット交換 TLS 1.0、Triple DES / 168 ビット暗号 (高); RSA / 2048 ビット交換 TLS 1.0、AES 128 / 128 ビット暗号 (高); RSA / 2048 ビット交換 TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 2048 ビット交換 https://www.virustotal.com/en/file/7b6af39264f866465b0d68e0a57ba08bba6c28cb2b1f47e9f7b5767c017680be/analysis/ Program Files\CSR\CSR Harmony Wireless Software Stack cert_install.bat @ECHO OFF cd . call certmgr.exe /add HarmonyTest.cer /s /r localMachine root call certmgr.exe /add HarmonyNewTest.cer /s /r localMachine root Harmony(Test).cer HarmonyNew(TEST).cer bluetooth bluetooth追加後、証明書が書き込まれる。 https://www.ssllabs.com/index.html TLS 1.0、Triple DES / 168 ビット暗号 (高); RSA / 2048 ビット交換 kb3081320 WEPOS および POSReady 2009 のセキュリティ更新プログラム (KB3081320) schannel.dll 5.1.2600.6926 (xpsp_sp3_qfe.150921-2029) TLS / SSL Security Provider 海外と頻繁に往来しておりました私は、税関が”ノーチ ェック”だったのを良いコトに(?)アメリカの無修正のヴィデオテープを お土産に大量に持ち込んでおりました(時効ですので、ご勘弁を)。(^^; 私自身はまったく興味はありません!(断言!これホント)が、まわりに スケベが多数生存しておりましたので、ちょくちょく売り付けては小遣いに しておりました。 住んでおりました東急目蒲線、武蔵小山の駅前のソニーショップの家電店の オヤジが『ダビング、させてくんないかな〜・・』と言ったので 「テープを100本提供しろ、ヴィデオデッキも5〜6台貸せ。50本ダビング して渡すから・・・」と、自宅でせっせと裏ヴィデオを密造しておりました。 トータルで、オヤジに渡す分も含めて1000本近くはダビングしたでしょうか ・・・・・・・(w; 当時はヴィデオテープが1本四千円もしたんです!(○○;) ショップのオヤジは商店街の”シャチョサ〜ン”(つまりはヤッパ、オヤジ 連中)に『ヴィデオデッキを買ってくれたら、このテープを付けるから・・・ 何なら2本、イヤッ!3本!』とヴィデオデッキを100台以上も売りまくり、 セールスイヤーのチャンピオンプレゼントでハワイにご招待されてました。 ついでに自分も持ち込もうとして税関で捕まったそ〜ですが・・・・(w もちろんその時代にはまだ”裏ヴィデオ”なんてコトバも存在しませんで したが・・・・ 数年過ぎて、友人の家で『新しいヴィデオが手に入ったから!』と言われ て見たのは、私が密造したヴィデオのダビングのダビング(?)でした。 夏休み最後の土曜日には、東京の繁華街で青少年の一斉補導が有り、1200人 ものコドモが捕まったそ〜です。 ”性風俗のミダレ”などと言われますが、スピリタスにしろ裏ヴィデオに しろ”元祖ラリー”とは、本人も思っても居なかったコトです・・・(^^; このページは表示できません https://media.defcon.org/ sha512RSA DigiCert SHA2 High Assurance Server CA https://trinlink.tmfhs.org/EpicCareLink/common/epic_login.asp TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 2048 ビット交換 この Web サイトのセキュリティ証明書には問題があります。 https://www.knaw.nl/nl sha384WithRSAEncryption TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 4096 ビット交換 https://support.microsoft.com/ja-jp/kb/931850 オレオレ証明書 Program Files\CSR\CSR Harmony Wireless Software Stack cert_install.bat @ECHO OFF cd . call certmgr.exe /add HarmonyTest.cer /s /r localMachine root call certmgr.exe /add HarmonyNewTest.cer /s /r localMachine root Harmony(Test).cer HarmonyNew(TEST).cer bluetooth bluetooth追加後、証明書が書き込まれる。 https://www.ssllabs.com/index.html TLS 1.0、Triple DES / 168 ビット暗号 (高); RSA / 2048 ビット交換 kb3081320 WEPOS および POSReady 2009 のセキュリティ更新プログラム (KB3081320) schannel.dll 例外的に信頼する証明書としてこのサイトの証明書を登録しようとしています。 本物の銀行、通信販売、その他の公開サイトがこの操作を求めることはありません。 この Web サイトのセキュリティ証明書には問題があります。 この Web サイトで提供されているセキュリティ証明書にはエラーがあるため、 信頼しないでください。 セキュリティ証明書の問題によって、詐欺や、お使いのコンピューターから サーバーに送信される情報を盗み取る意図が示唆されている場合があります。 avast! Web/Mail Shield クライアントPCをWeb上の脅威から守るためにSSLの通信も解読する必要がある、 という事情からこのよう措置を取ったのかもしれませんが、MTMっぽくて気持ち が悪かったので自分はavastをアンインストールしました。 StartSSL の組織認証でクライアント証明書が、当該組織のドメインでしか作れなくなってる。最低。 仕方ないので Class 2 個人認証を追加で契約。 なんかMSがシマンテックのrootを勝手に消したらしいぞ。 一部で影響でてるとか。 StartCOMの無料のやつ、いつの間にかコモンネーム含めて5つまでホスト名 指定できるようになってるんだな。1つめに指定したやつがコモンネームになり、 それと残りの4つと、さらにサブドメインなしのホスト名がDNS Nameとして記載されるようだ。 SSL販売代理店、アカウントのパスワード平文で保存してるところ多すぎない? くそなの?それともそれで問題ないすごい何かがあるの?くそなの? やはりうんこか… 信頼を販売する所が信頼できないとか世も末 代理店ではなく、直接買ったほうがいいのかしら…高いけど >>568 もちろんしっかりと調査したって感じじゃないけど、 普通に登録して、パスワード平文でメール送ってきたから、 まさか…と思って、パスワードを忘れた時の手続きをしたら、 過去のパスワードが平文で…… という事が「体感的に」多かったぞよ ちゃんとした代理店あったらむしろ教えて なんだよその適当な体感は 可逆できるエンコードして保存してあって、メールの時にデコードしてるだけかもしれないじゃん つーか普通はパスワードのハッシュしか保存してないよ >>571 ,572 よく読めよ もしもパスワードを通知できたとしたら可逆なエンコードをする でも普通は不可逆なハッシュしか保存していない って意味だよ そもそもハッシュと暗号化は違う まあ、どっちにしろメールにパスワード記載で送ってくる時点であかん パスワードは塩ふってHashしてくれや。 とはいえ、これ以上はスレチかしら >>578 塩ふってHashするだけじゃ、今のご時世すぐ復元できちゃうから不十分 今時は、ストレッチング(10万回〜)が必要だよ StartSSL が、StartEncryptっていうのを発表した。 Let’s Encrypt みたいに証明書の自動更新が可能なコマンドを提供。 Lite版は1年更新で最大5ドメインまで設定可能なDV証明書を無制限に取り放題。 Pro版は、Validation必須だけど、Validationクラスに応じた証明書を取り扱い可能。 StartSSLって無料版だと商用不可だった気がするけど、それえも使えるのかな Let's Encrypt でサブドメイン管理者が親ドメインの SSL 証明書を取得する ttp://ya.maya.st/d/201609a.html#p20160909_1_3 SSL証明書を取得できる以前にゾーンをいじれる時点でどうかと思うが サブドメイン使わせてる企業やサービスがいくつあると思う? サブドメインの追加にTXTレコードまでいじれるようにしてる所あるの? StartCom が、中国大手のWoSignに買収されてたって記事を見た。 周知のことなん? >588 また、WoSignと同じく無料で証明書を発行してくれるCA(認証局)として知られる、イスラエルのStartComというCAを黙って買収し、所有権の変更を明かさなかったことも問題視されています。 StartComはWoSignとは独立して残るというニュースリリースが発表されているのですが、Mozillaの調査によって、StartComがWoSignのインフラを使用している状態にあることがわかっています。 http://gigazine.net/news/20160928-wosign-firefox-block/ 元記事はここからたどれ。 マジかよ・・・昨年Class2の有効期限が切れ、その時発行した証明書も 年末に切れるので更新予定だったのに…。 Globalsignの話ってあまり盛り上がってないの? 当事者じゃなくて良かったわ。 一般的にはサーバ側には中間証明書も併せて設定しますがそれでも影響が出ていたのかな? 解決策に「入れ替え」って書いてるから、そうなんじゃない? >サーバ側で現在の中間CA証明書と入れ替えていただくことで、 >キャッシュが更新されるのを待たずに復旧いただくことができます 私は元創価の会員でした。 すぐ隣に防衛省の背広組の官舎があるのですが、 自分の家の窓にUSB接続のwebカメラを貼り付けて、そこの動画を撮影し続け、 学会本部に送っていました。 別に大したものは写っていません。ゴミ出しとか奥さんが子供を遊ばせている所とか。 官舎が老朽化して使われなくなってから、 今まで法人税(うちは自営業です)をほぼ払わなくても済んでいたのが、 もう守ってやれないのでこれからは満額申告するように言われました。 納得がいかないと言うと、君は自業自得で餓鬼地獄へ落ちる、 朝夕南無妙法蓮華経と三千回ずつ唱えて心をきれいにしなさいと言われ 馬鹿らしくなって脱会しました。 それ以来、どこへ行くにもぞろ目ナンバーの車につけまわされたり大変な日々です。 全部自分の出来心から始まった事で、どこに訴えるわけにもいかないのですが、 何とかしてあの人たちと縁を切って新しい始まりを迎える方法はないんだろうか。 日本語ドメインのssl証明書なんですけど、 どこか安く使えるところ知りませんか? 日本語書けないのに日本語ドメイン取ろうとするなんて面白い人だねぇ >>596 Punycodeを使うだけだから関係無いよ >>596 Let'sEncryptは最近対応したそうだ Mozilla が 既存の StartSSL ルート証明書を全部無効にすると決定したそうな。 StartCOMは、Mozilla の要請に従って、新しいルート証明書を発行する予定とのこと。 ま、そりゃ当然かな。 ごじまんのきれーなわかいおくさん よかったね おしあわせに ^人^ 晴れて?まいいや あきがすぎようが まふゆがこようが じしんなんかあるか 宗だンストーカー 24h どこでうじゃうじゃで あのーーー まったくもって無関係ナンデスがどのお方とも ふあんであまえたいおとしごろなのかな 外見に自信もあって おにあいだよ〜ん 賠償してくれないかな 国 政 が シマンテックの証明書が大半のブラウザーで無効にされているな ヤマトも煽り食らっているけど、IEでは通るから放置しているらしいけど Let’s Encryptの証明書一枚でサブドメインを含む複数ドメイン対応の方法は ググるといくつか出てくるんだけど、 ブラウザのSAN(サブジェクトの別名)にどのドメインの証明書か明記されている。 例えば、admin.example.comとかsercret.example.comとか表示されていたら、 ここから非公開URLにアクセスされそうなんだけど、対策ってないですかね? 別に、非公開URLにIP制限とかフィルタリングしていれば良さそうだけど、 出来るだけURLが表に出ないほうが良いと思います。 サブドメインごとに別の証明書使えばいいじゃん アホなの? そうでした。難しく考えすぎてました。 普通に分けて作れました。すみませんでした まあそんなことしてもDNSに入れた時点でバレるんだけどな そういうことされても問題ないようなシステムにする DNS出さずに使うクライアントのhostsにだけ書けばもうちょい安全性は上がるけど根本的な解決じゃない https://goo.gl/eH1eR4 これ、本当なの?本当だったら、ショックなんだけど、、 >>613 肌の健康に関する広告だらけのページ 「これ嘘でしょ」って書くに値するような驚く内容なんてない もちろんSSLとも全く無関係だから踏む必要ない 2chでURL貼るときの注意点 ・リンク先にどんなことが書いてあるかわかるようにすること、「これ嘘でしょ。本当なの。。?」とだけ書かれても内容は分からないから誰も踏まない(ブラクラの可能性もあるし) ・短縮URLは使うな!本当のURLを隠してる時点で怪しいサイトですよと宣言しているようなものだ ・スレと無関係なURLは貼るな!スキンケアなんて板にもかすってないじゃないか(自宅サーバー板なんてオッサンくさい板でスキンケアサイトの宣伝するとか徒労乙) ・アフィサイトのURLは貼るな! ・2chは宣伝禁止だ といろんなところでマルチしてるスレタイも読めないただのスキンケアサイトに無駄に驚愕してる宣伝に釣られてみる (このレスはわざわざ書いたのではなく他のスレからのコピペ) キモい さいかそう の 非礼なカス 廃人めざわり 負け組は不要 しのうがいきようがどうでもいいわ . . 東京都三鷹市 元ニコ生主の莉里子です (整形後) http://i.imgur.com/SLcz3dS.jpg (整形前) http://i.imgur.com/zPvxpx5.png 不倫・浮気・密会・不道徳な行為は著名な小説家でしている人がいるので真似しちゃう池沼です http://i.imgur.com/vZeIuO3.png ■2015年2月 釣りニコ生主コジコジと沖縄旅行でオフパコ 2015年2月2日-3日...釣り生主コジコジと沖縄旅行でセックス/やり捨てされ逆ギレ 2015年2月4日.........莉里子の父親から電話があって脅されたとコジコジに放送で暴露される 2015年2月6日.........リスカ画像UP 2015年2月9日.........ツイ全消し/コミュ爆破逃亡 http://imgur.com/a/58WQC ■2016年6月 バンドマン兼ニコ生ツイキャス配信者と密会 その3日後に穴るセックス〜継続中 http://imgur.com/a/Lx8o2 ●早川莉里子●土井莉里子●土井寧々●土井剛●早川剛●星崎●りりこ●りりこし●にゃんぱす ●ね子●にゃこ●みんち●めう●ねね●猫又●剛 ※名古屋ゲイ風俗ホストとも体の関係※ Let’s Encryptを何度かやり直していたら更新できなくなったのですが、 何日ぐらい時間をあけるとまた出来る様になるのでしょうか? >>620 ありがとうございます。明日また試してみます。 やっぱり駄目でした。2,3日開けたほうが良いのかなぁ 何度も試すとブラックリスト入りしそうで怖い・・・ >>622 どのような作業したのかにより他の制限にかかっている可能性もあるよ。 例えば、同じドメイン(ホスト名部分が違っても)の証明書は1週間で20個まで、 同じ証明書は1週間で5個までなど。 https://letsencrypt.org/docs/rate-limits/ >>623 上手く更新できなかったから、全部消して位置から作成しようとしたんです。 ドメインは同じなんで「同じ証明書は1週間で5個まで」になるんですかね こういうのあるからLet'sEncryptって使いづらいですね 無料だからしかたないわけで、他の格安SSL使った方が良いのかも >>624 わけありでlet'sが取れなかったから安いの探したら3年で2400円見つけそれ使っている。let'sのおかげで証明が安くなったね。 FujiSSLってところ? letsからも乗り換え割引きおkみたいだから実質新規3年は1680円だな あらーお安い RapidSSL買ってしまったばっかりだー >>625-626 めちゃくちゃ安いですね! ただ、自分の場合はLet'sEncryptで更新できないので、乗り換えになるのだろうか・・。 あと、RapidSSLはさくらで取得して別のドメインで使用していますが。 letsが正式サービスされる前にGoGetSSLで証明書とったが3年で9.65USDだったな。 どうせWebとメールでの手続きだけだから国内に拘らなければ安いところは そこそこあるよ。 1から作成し直したら有料のとこはもう一回料金払うことになるからなw あとは、ワイルドカードじゃなくてサブドメインで作れたら良いんだけどな。 Let'sEncryptはそれが出来るから重宝されてるのもあると思う これ普通にショックだわ。。 本当なの?? https://goo.gl/RB0asw >>624 もとから一定期間内はいくつまでってはっきり明言されてるだろう そして、最初はここで作って作り直すときに別のとこにすれば 使いづらいも何もないでしょ、文句言う方がおかしい >>634 確かに無料で使わせてもらってるのに文句言うのはおかしいですね。すみません。 ただ、>>619 を投稿して今でも作成できません。 明確に1週間経っていないからなのか、ブラックリスト入り?したのか分かりませんが、 何度も試すことってあると思うので、結構つらいです。無料だから仕方ないですが・・・ そうじゃなくて、無料のとこで制限引っかかって待ちきれなかったら 続きを有料のとこでやればいいじゃんって話 最初から有料のとこで何度もやるより安く済むだろ そもそも有料だったらもっと慎重にやってミスがないようにやるのに 無料だからって適当にやるのが悪いでしょ それで適当にやったのは無料のせいだって文句言われてもな StartSSL の証明書が、Google Chrome 57で無効になった。 サーバー証明書取得のための Validation 無料にしてるようだけど、 今後どんどん使えなくなっていくんだろうなぁ。 解決 (ルート証明書の新規作成と登録) にはまだ数ヶ月かかるって言ってた。 独自ドメインが何個でも無料で取得可能。 四文字ドメイン、レアドメイン多数。 SSL対応、サーバー、ワードプレスのインストールも無料。 詳しくはこちら https://ryoma.space/ >>639 StartSSL終了のお知らせが来ました。 新規証明書の発行は年内で終了。CRLとOCSPのみ2年間対応。 ブラウザーの信頼済み認証局リストから外された時点でオレオレと同じだしな Let’s Encryptについて相談です。 Let’s Encryptを導入しているサイトに Andoroid(手持ちは6.0)スマホからアクセスすると警告が出ます。 Let’s Encryptはさくらとかエックスサーバーとか 有名レン鯖バでも使えるようになりましたが、これらのサイトも同様です。 ググっても情報がないのですが、みなさんはいかがでしょうか? >>645 「セキュリティ警告 このサイトのセキュリティ証明書には問題があります。」 といった警告が出ます。 「続行」をクリックすると閲覧できますが、警告が出ないようにしたいです。 わかりました。ブラウザの問題みたいです。 Android内臓のwebviewではヤフーでも警告が出ました。 試しにOperaのモバイルブラウザをインストールしたところ 警告が出ませんでした。 なので、SSLやサイトがどうのというよりも、環境の問題っぽいです。 お騒がせしました。 Wildcard Certificates Coming January 2018 https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.html Update, January 4, 2018 We introduced a public test API endpoint for the ACME v2 protocol and wildcard support on January 4, 2018. ACME v2 and wildcard support will be fully available on February 27, 2018. windowsPCにIISでFTPSサーバを立てている そのサーバに対してFTPS通信を試みている その際にSSL通信をさせようとするのに時間のかかるサーバがある windowsPCでSSL通信に関わる設定ってファイアウォール以外ある?? いまやりたいこととしては原因が何故かを突き止めたい サーバの設定なのであればその設定を変えることで解決するなら手順に入れる 違うのであれば違う方法をとるしかない 現状tls暗号化方式をSSLv3.0の暗号化方式に変えたら 速度遅延もなくできるってのはわかってるが ただ動くだけだから原因特定できていなくて適切な解決方法かがわからない... その他試したこと すべて同一クライアントからやってること ・OSの違いの検証→なし ・LANの違いの検証→なし ☆ 日本の、改憲を行いましょう。現在、衆議員と参議院の 両院で、改憲議員が3分の2を超えております。 『憲法改正国民投票法』、でググってみてください。国会の発議は すでに可能です。平和は勝ち取るものです。お願い致します。☆☆ >>644 亀レスだけど、Let's EncryptはAndroidにも対応している セキュリティエラーが出るのは十中八九中間証明書の設定ミス PCブラウザは中間証明書をキャッシュしたり他のサイトのを流用したりしてエラーが出ないのでミスに気が付きにくい httpサーバは使わないので落としておいたら、let's encryptの更新ができてなかった 10年前(2009年)は全面的にSSLとなっているサイトが現在よりかなり少なかったような… もう3年前あたり(2016年あたり)から有名企業・店の公式サイトで全面的にSSLになるサイトが増えてて、もう有名企業・店の公式サイトで全面的にSSLが今では全然珍しくなくなったね それを考えると常時SSL化されたサイトがその10年間でどれだけ増えてどれぐらいの時代の流れなのかが多少分かるよね https://buzip.net/oita/search/keyword?q=%E3%83%98%E3%83%AB%E3%82%B9%E5%AC%A2%E3%83%BB%E5%A3%B2%E6%98%A5%E5%A9%A6%E3%81%AE%E9%87%91%E5%9F%8E%E8%8B%B1%E9%87%8C%E3%81%95%E3%82%93%EF%BC%881984%EF%BC%8F3%EF%BC%8F21%E7%94%9F%EF%BC%89%E3%81%AE%E8%87%AA%E6%92%AE%E3%82%8A%E3%83%8C%E3%83%BC%E3%83%89%E5%85%AC%E9%96%8B%E4%B8%ADavgle https://chefgohan.gnavi.co.jp/search/?st=1& ;fw=%E3%83%98%E3%83%AB%E3%82%B9%E5%AC%A2%E3%83%BB%E5%A3%B2%E6%98%A5%E5%A9%A6%E3%81%AE%E9%87%91%E5%9F%8E%E8%8B%B1%E9%87%8C%E3%81%95%E3%82%93%EF%BC%881984%EF%BC%8F3%EF%BC%8F21%E7%94%9F%EF%BC%89%E3%81%AE%E8%87%AA%E6%92%AE%E3%82%8A%E3%83%8C%E3%83%BC%E3%83%89%E5%85%AC%E9%96%8B%E4%B8%ADavgle https://ec.treasure-f.com/search?category=& ;word=%E3%83%98%E3%83%AB%E3%82%B9%E5%AC%A2%E3%83%BB%E5%A3%B2%E6%98%A5%E5%A9%A6%E3%81%AE%E9%87%91%E5%9F%8E%E8%8B%B1%E9%87%8C%E3%81%95%E3%82%93%EF%BC%881984%EF%BC%8F3%EF%BC%8F21%E7%94%9F%EF%BC%89%E3%81%AE%E8%87%AA%E6%92%AE%E3%82%8A%E3%83%8C%E3%83%BC%E3%83%89%E5%85%AC%E9%96%8B%E4%B8%ADavgle https://enamae.net/f/%E3%83%98%E3%83%AB%E3%82%B9%E5%AC%A2%E3%81%AE__%E9%87%91%E5%9F%8E%E8%8B%B1%E9%87%8C https://e-uranai.net/uranai/event03/divination?l_name=%E3%83%98%E3%83%AB%E3%82%B9%E5%AC%A2%E3%81%AE& ;f_name=%E9%87%91%E5%9F%8E%E8%8B%B1%E9%87%8C&rad=1&num=1&rep=1&rei=1 Let’s Encrypt 一強時代で、需要無くなったな、このスレ。 ワイルドカード対応で Let’s 以外にする理由もなくなったし。久しく留まりたる例無しだな。 定期的にやっすいワイルドカード証明書ないか検索してるけど相変わらず強気の値付けばかりだわ。EV 以外は儲かってるのかね? read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる