誰も立てないようなので立てた。
【主な認証局】
VeriSign : http://www.verisign.com/ , http://www.verisign.co.jp/
Thawte : http://www.thawte.com/ , http://www.jp.thawte.com/ (親会社は VeriSign)
CyberTrust: http://www.cybertrust.com/ , http://www.cybertrust.ne.jp/
GeoTrust : http://www.geotrust.com/ , http://www.geotrust.co.jp/ (親会社は VeriSign)
RapidSSL : http://www.rapidssl.com/ (親会社は VeriSign)
Comodo : http://comodo.com/ , http://www.comodojapan.com/
GoDaddy (StarField) : http://www.godaddy.com/
GlobalSign : http://www.globalsign.com/ , http://jp.globalsign.com/
Secure Business Services: http://www.securebusinessservices.com/
セコム : http://www.secomtrust.net/service/ninsyo/forweb.html
StartSSL : http://www.startssl.com/
CAcert.org : http://www.cacert.org/ (※ほとんどのブラウザにルート証明書が含まれていない)
探検
【認証局】SSLに関するスレ 2枚目【ぼろ儲け】
1DNS未登録さん
2010/10/08(金) 19:15:04ID:D3awGtmQ255DNS未登録さん
2013/01/30(水) 23:45:19.40ID:??? >>254
自分もStartSSLで発行して使ってます。
ところでみんなはまだSHA-1?
この記事みてSHA-256にしてみたよ。
ttps://www.verisign.co.jp/press/2012/pr_20120328.html
自分もStartSSLで発行して使ってます。
ところでみんなはまだSHA-1?
この記事みてSHA-256にしてみたよ。
ttps://www.verisign.co.jp/press/2012/pr_20120328.html
257DNS未登録さん
2013/02/02(土) 03:15:54.04ID:???258DNS未登録さん
2013/02/03(日) 13:28:50.06ID:???259DNS未登録さん
2013/02/15(金) 12:34:27.64ID:??? ベリサイン、RSAよりも負荷が軽いECC(楕円曲線暗号)をSSL証明書に採用
http://itpro.nikkeibp.co.jp/article/NEWS/20130214/456308/
http://itpro.nikkeibp.co.jp/article/NEWS/20130214/456308/
260DNS未登録さん
2013/02/20(水) 18:17:34.11ID:??? 偉いおじさん、ちょっと教えて下さい
VPSでIPアドレスを1つ持ってて複数のドメインを運営してて
例えば、AAA.comでSSLを使うと BBB.jpでは認証取れなくなるの?
IPひとつに対して認証は1つ、みたいにどっかで見た気がするので
VPSでIPアドレスを1つ持ってて複数のドメインを運営してて
例えば、AAA.comでSSLを使うと BBB.jpでは認証取れなくなるの?
IPひとつに対して認証は1つ、みたいにどっかで見た気がするので
261DNS未登録さん
2013/02/20(水) 18:37:05.58ID:??? 認証って何の認証?
証明書取るのにはIPアドレス関係無いよ。
使用時はIPアドレス1つにSSLドメインは1つだよ、逆引きで一致しないと
警告出るからね。
証明書取るのにはIPアドレス関係無いよ。
使用時はIPアドレス1つにSSLドメインは1つだよ、逆引きで一致しないと
警告出るからね。
262DNS未登録さん
2013/02/20(水) 21:16:52.56ID:??? それは運用の仕方による。今はサーバーもブラウザもバーチャルドメインでのSSL運用に対応してるから。スマートシールとかは知らんけど。
詳しくは、バーチャルドメイン+SSLでぐぐれ
詳しくは、バーチャルドメイン+SSLでぐぐれ
263260
2013/02/20(水) 22:51:44.36ID:??? あ、認証じゃなくて証明書か。
バーチャルホスト使ったテスト用サイトでstartSSLの証明書はセット出来た。
そんで本番用のサイトにrapidSSL申し込んだりしたらIP同じだから問題あるよな?って心配したんだ。
逆引きの件はじっくり調べてみる。
ありがとうございました。
バーチャルホスト使ったテスト用サイトでstartSSLの証明書はセット出来た。
そんで本番用のサイトにrapidSSL申し込んだりしたらIP同じだから問題あるよな?って心配したんだ。
逆引きの件はじっくり調べてみる。
ありがとうございました。
264DNS未登録さん
2013/02/21(木) 00:08:58.27ID:Dh5cd3UC 証明書取るのにIPとか逆引きとか関係ないよ。
普通にWEBサーバでバーチャルドメインするだけなら今時は普通対応してるから大丈夫。
普通にWEBサーバでバーチャルドメインするだけなら今時は普通対応してるから大丈夫。
265DNS未登録さん
2013/02/21(木) 15:21:16.06ID:???266DNS未登録さん
2013/02/21(木) 15:43:15.19ID:??? IE6くらいだろ? 切り捨てろよ、そんなもん
267DNS未登録さん
2013/02/21(木) 17:25:06.53ID:??? >>266
Android 2.x のブラウザ[32] (Honeycomb for tablets と Ice Cream Sandwich
for phones では対応)
bアれ結構残ってbネいかな?
Android 2.x のブラウザ[32] (Honeycomb for tablets と Ice Cream Sandwich
for phones では対応)
bアれ結構残ってbネいかな?
268DNS未登録さん
2013/02/22(金) 14:25:23.27ID:??? IPベースのバーチャルホストが複数のSSL証明書が利用できないのは
FQDNが決まらないとサーバ側がどの証明書つかっていいかわからないが
FQDNが分かるのは複合してからという缶切りは缶詰の中状態なせい。
解決するには
・ポートベース(80,443ポート以外だと接続できないクライアント環境がある)
・SNI(対応してないブラウザが多い)
等がある。
SNI非対応で問題になるのは以下の通り
・IE6(いまさらどうでもいい気がする)
・XPの人(IE8でもXPだとダメ)
・android 2.x系の人
・wii,playstation(どうでもいい)
・ガラケーの大部分(めんどくさいから細かくは調べて無い)
特に問題なのはandroid 2.xで
「2013年1月3日現在のGoogle Play Storeへのアクセス統計によるバージョンごとの世界シェア」で50%以上を締めてる
http://ja.wikipedia.org/wiki/Android#.E3.83.90.E3.83.BC.E3.82.B8.E3.83.A7.E3.83.B3_2
世界中がIPv6対応になる日が先かSNIの普及(古い環境の駆逐)が先かって感じだな
FQDNが決まらないとサーバ側がどの証明書つかっていいかわからないが
FQDNが分かるのは複合してからという缶切りは缶詰の中状態なせい。
解決するには
・ポートベース(80,443ポート以外だと接続できないクライアント環境がある)
・SNI(対応してないブラウザが多い)
等がある。
SNI非対応で問題になるのは以下の通り
・IE6(いまさらどうでもいい気がする)
・XPの人(IE8でもXPだとダメ)
・android 2.x系の人
・wii,playstation(どうでもいい)
・ガラケーの大部分(めんどくさいから細かくは調べて無い)
特に問題なのはandroid 2.xで
「2013年1月3日現在のGoogle Play Storeへのアクセス統計によるバージョンごとの世界シェア」で50%以上を締めてる
http://ja.wikipedia.org/wiki/Android#.E3.83.90.E3.83.BC.E3.82.B8.E3.83.A7.E3.83.B3_2
世界中がIPv6対応になる日が先かSNIの普及(古い環境の駆逐)が先かって感じだな
269DNS未登録さん
2013/02/22(金) 15:53:37.48ID:??? CA/Browser ForumのBaseline Requirement 1.0では、CAが発行する証明書について
subjectAltName: 必須
commonName: 推奨されない(でも禁止しない)
となってる
http://cabforum.org/Baseline_Requirements_V1.pdf
https://jp.globalsign.com/repository/baseline_requirements_ja.pdf
ttp://co-akuma.directorz.jp/blog/2012/05/baseline-requirement%E3%81%A8%E3%81%AF%EF%BC%9F/
subjectAltName: 必須
commonName: 推奨されない(でも禁止しない)
となってる
http://cabforum.org/Baseline_Requirements_V1.pdf
https://jp.globalsign.com/repository/baseline_requirements_ja.pdf
ttp://co-akuma.directorz.jp/blog/2012/05/baseline-requirement%E3%81%A8%E3%81%AF%EF%BC%9F/
270DNS未登録さん
2013/02/22(金) 16:24:49.98ID:??? サービス提供会社の信頼性に依存するけど
クライアント
↓ SSL
なにかサービス
↓ SSLでproxy
ポートベースのVH
ってしてくれるサービスがVPSより格安であったらよさげだね
クライアント
↓ SSL
なにかサービス
↓ SSLでproxy
ポートベースのVH
ってしてくれるサービスがVPSより格安であったらよさげだね
271DNS未登録さん
2013/03/03(日) 21:12:42.78ID:EivOJNOt 個人事業主だとアドレスバー緑に出来ない?
272DNS未登録さん
2013/03/03(日) 21:20:49.09ID:??? 登記していればできる
273DNS未登録さん
2013/03/03(日) 21:52:54.00ID:???274DNS未登録さん
2013/03/03(日) 22:20:33.83ID:??? あれ、商号登記あっても個人だとEVは無理だったと思う。
どこの認証局で出してる?
どこの認証局で出してる?
275DNS未登録さん
2013/04/21(日) 23:02:05.60ID:??? ルート証明書入ってても確認メッセージが出る古い携帯があります
OK押せばきちんとSSLマークも出て通信されますが、
比較的新しい携帯のように確認自体が出ないもんかと思っていましたが
そういうもんなんでしょうかね?
具体的にはEquifax Secure Certificate AuthorityでSoftBankの810T
↓の"SSL証明書一覧"見る限りでは○になってるんですけど
ttp://creation.mb.softbank.jp/mc/tech/tech_web/web_docandtools.html
OK押せばきちんとSSLマークも出て通信されますが、
比較的新しい携帯のように確認自体が出ないもんかと思っていましたが
そういうもんなんでしょうかね?
具体的にはEquifax Secure Certificate AuthorityでSoftBankの810T
↓の"SSL証明書一覧"見る限りでは○になってるんですけど
ttp://creation.mb.softbank.jp/mc/tech/tech_web/web_docandtools.html
278275
2013/04/22(月) 18:53:30.67ID:??? >>277
携帯の時間、ドンピシャです!
(始めに設定してたつもりが電池抜いたり指したりしてたら過去に戻ってしまっていました・・・)
>>276
確認メッセージ自体は機種によると思いますが、
「このサイトは安全ではない可能性があります。接続しますか?」
というものでした
どうもありがとうございました!
数年ぶりに携帯サイト弄ることになって色々情報を確認してみると、
auの旧800MHz帯関係で古い機種サポートしなくても良くなっていたり
(手持ちの該当機種にSIMカード入れても圏外になるので始め故障かと思いました)、
携帯サポートもRapidSSLでほぼ十分(当時はThawte使ってました)になっていたり、
浦島太郎状態でした
スマホ時代なので証明書に関してはあまり意識しなくてもよい時代になった感じですね
携帯の時間、ドンピシャです!
(始めに設定してたつもりが電池抜いたり指したりしてたら過去に戻ってしまっていました・・・)
>>276
確認メッセージ自体は機種によると思いますが、
「このサイトは安全ではない可能性があります。接続しますか?」
というものでした
どうもありがとうございました!
数年ぶりに携帯サイト弄ることになって色々情報を確認してみると、
auの旧800MHz帯関係で古い機種サポートしなくても良くなっていたり
(手持ちの該当機種にSIMカード入れても圏外になるので始め故障かと思いました)、
携帯サポートもRapidSSLでほぼ十分(当時はThawte使ってました)になっていたり、
浦島太郎状態でした
スマホ時代なので証明書に関してはあまり意識しなくてもよい時代になった感じですね
279DNS未登録さん
2013/04/23(火) 11:16:47.23ID:??? 2010年問題(2012年問題)のおかげで
どの会社の使ってもカバレッジ100%に出来なくなったから
RapidSSLで十分だよね。
シールなんかあっても誰も見て無いなぁ
どの会社の使ってもカバレッジ100%に出来なくなったから
RapidSSLで十分だよね。
シールなんかあっても誰も見て無いなぁ
280DNS未登録さん
2013/04/23(火) 11:24:04.66ID:??? いっそのこと共用SSLでも…
281DNS未登録さん
2013/04/23(火) 23:31:02.78ID:??? >>279
当サイトは○○の高度なセキュリティ技術と証明書によってお客様の
プライバシーや通信内容が強力に保護されていることを知っていましたか?
・知っていた
・今知った
って項目をSSLサイトに作ればいい。
当サイトは○○の高度なセキュリティ技術と証明書によってお客様の
プライバシーや通信内容が強力に保護されていることを知っていましたか?
・知っていた
・今知った
って項目をSSLサイトに作ればいい。
282DNS未登録さん
2013/05/09(木) 16:21:02.73ID:??? OpenSSLのインストールがうまくいかなくて困り、ここで質問しようとしたら、その前に自己解決しました。
http://www.shinbo.org/archives/631
↑この通りにやったら、とりあえずOpenSSLの最新版(1.0.1e)の導入に成功。
次の目標は、Apacheを入れて、自己認証局を建てて、オレオレ証明書でSSLを利用可能にすることです。
うまく行かなかったら、またここで質問させていただきます。よろしく!
http://www.shinbo.org/archives/631
↑この通りにやったら、とりあえずOpenSSLの最新版(1.0.1e)の導入に成功。
次の目標は、Apacheを入れて、自己認証局を建てて、オレオレ証明書でSSLを利用可能にすることです。
うまく行かなかったら、またここで質問させていただきます。よろしく!
283DNS未登録さん
2013/05/09(木) 18:49:28.00ID:??? お引き取り下さい。
あなたのような無能クズが来ていいスレではありません。
あなたのような無能クズが来ていいスレではありません。
284282
2013/05/18(土) 18:18:29.35ID:??? http://thinkit.co.jp/free/article/0706/3/7/
http://www.oss-d.net/apache2.2-php5.3
あたりの説明通りにやったら、テストサーバーでは、オレオレ証明書(ワイルドカード対応=*.ドメイン名)でSSLができるようになりました。
本番サーバー(さくらVPS)でやったら、https://でページは表示されるけど、ディレクトリが別々になっているVirtaulHostのトップページが表示されず、ドキュメントルートのトップページが表示されてしまった。
httpd.conf、vhost.conf、ssl.confあたりの設定をいじっているけど直らない><
どうすれば直るでしょうか?アドバイスよろしくお願いします。
http://www.oss-d.net/apache2.2-php5.3
あたりの説明通りにやったら、テストサーバーでは、オレオレ証明書(ワイルドカード対応=*.ドメイン名)でSSLができるようになりました。
本番サーバー(さくらVPS)でやったら、https://でページは表示されるけど、ディレクトリが別々になっているVirtaulHostのトップページが表示されず、ドキュメントルートのトップページが表示されてしまった。
httpd.conf、vhost.conf、ssl.confあたりの設定をいじっているけど直らない><
どうすれば直るでしょうか?アドバイスよろしくお願いします。
285282
2013/05/18(土) 18:22:02.46ID:??? 環境は、CentOS5.9+Apache2.2.3+OpenSSL1.0.1です。
<VirtualHost *:443>
ServerName domain.com:443
DocumentRoot /var/www/html/domain.com
SSLEngine on
SSLCertificateFile /etc/pki/tls/certs/server.crt
SSLCertificateKeyFile /etc/pki/tls/private/server.key
</VirtualHost>
こんなかんじですが、正常なページが表示されませんね〜><
<VirtualHost *:443>
ServerName domain.com:443
DocumentRoot /var/www/html/domain.com
SSLEngine on
SSLCertificateFile /etc/pki/tls/certs/server.crt
SSLCertificateKeyFile /etc/pki/tls/private/server.key
</VirtualHost>
こんなかんじですが、正常なページが表示されませんね〜><
286282
2013/05/18(土) 18:24:01.14ID:??? >>283
どんな達人でも、最初はみんな初心者だった。
だから、私はどんなにスキルアップしても、初心者に親切にしてあげようと思っています。
皆さんも私に親切にしてください。よろしくお願いします。m(__)m
どんな達人でも、最初はみんな初心者だった。
だから、私はどんなにスキルアップしても、初心者に親切にしてあげようと思っています。
皆さんも私に親切にしてください。よろしくお願いします。m(__)m
288282
2013/05/18(土) 20:30:24.15ID:??? >>287 アドバイスありがとうございます。エラーログを見て、改善を図り、トップページまでは見えるようになりました。
# pwd
/var/log/httpd
# ls ssl*
ssl_access_log ssl_error_log ssl_request_logPHP5.4+CodeIgniter2を使ってるのですが、他のページが見えないのは、Rewriteルールの記述の問題みたいでした。原因の切り分けができたら、またこちらで質問させていただきます。
# pwd
/var/log/httpd
# ls ssl*
ssl_access_log ssl_error_log ssl_request_logPHP5.4+CodeIgniter2を使ってるのですが、他のページが見えないのは、Rewriteルールの記述の問題みたいでした。原因の切り分けができたら、またこちらで質問させていただきます。
291DNS未登録さん
2013/05/23(木) 07:05:01.77ID:??? というか、エラーログみないレベルのキチガイがSSLとか10桁万年早い。
292ロジャー毛皮
2013/05/23(木) 14:48:13.38ID:uzQ3v80k! RapidSSLの証明書は一意に企業は低コストのSSL certificates.Theyがeコマースやセキュアログインエリアを提供するサイトの光のレベルを行うウェブサイトに適しています信頼できる、完全に機能する単一のルートを取得することができます。
ClickSSL - http://www.clickssl.com/ssl-certificates/rapidssl
ClickSSL - http://www.clickssl.com/ssl-certificates/rapidssl
293282
2013/05/25(土) 14:19:19.01ID:??? Nginx1.2.4+OpenSSL1.0.0で、オレオレ証明書のSSL通信ができました。
Nginxの設定は、Apacheと比べて、超簡単でした!
Apacheのmod_rewriteは、正規表現を復習して、再チャレンジしたいと思います。
>>289-292 どうもありがとうございます。
Nginxの設定は、Apacheと比べて、超簡単でした!
Apacheのmod_rewriteは、正規表現を復習して、再チャレンジしたいと思います。
>>289-292 どうもありがとうございます。
294DNS未登録さん
2013/05/30(木) 10:25:29.56ID:??? example.comでwwwサーバ、メールサーバ、sshサーバを運営したいんだけど、
www有りのコモンネームで証明書を取得すれば、SANsの機能で
www有り・無し関係なくSSL通信ができるという認識であってますか?
www有りのコモンネームで証明書を取得すれば、SANsの機能で
www有り・無し関係なくSSL通信ができるという認識であってますか?
295DNS未登録さん
2013/05/30(木) 12:54:39.57ID:fRd8fKHo >>294
example.com と www.example.com の両方がSANで含まれた証明書ならね。
でも、普通は www.example.com の証明書を取得したら example.com は含まれないと考えるべき。
追加料金で両方含めれたり、逆にexample.comは最初から勝手に含まれてたりとか、認証局によって違う。
example.com と www.example.com の両方がSANで含まれた証明書ならね。
でも、普通は www.example.com の証明書を取得したら example.com は含まれないと考えるべき。
追加料金で両方含めれたり、逆にexample.comは最初から勝手に含まれてたりとか、認証局によって違う。
297DNS未登録さん
2013/05/31(金) 12:17:19.50ID:??? ComodoのPositive SSLって安いな
ttp://www.gogetssl.com/domain-validation/
Positive SSL CNがexample.comにSANでwww.example.com
Rapid SSL CNがwww.example.comにSANでexample.com
だったはず
ttp://www.gogetssl.com/domain-validation/
Positive SSL CNがexample.comにSANでwww.example.com
Rapid SSL CNがwww.example.comにSANでexample.com
だったはず
298DNS未登録さん
2013/05/31(金) 13:31:04.18ID:??? 認証局を立ててぼろもうけしたいんですが、
親にしたい認証局で何を買ってくればいいんですか?
親にしたい認証局で何を買ってくればいいんですか?
299DNS未登録さん
2013/05/31(金) 16:48:31.50ID:ha9l9tT5300DNS未登録さん
2013/06/02(日) 08:35:31.77ID:??? (1) RapidSSLで安いサーバー証明書を1個買う
(2) 自分で中間認証局を作り、RapidSSLのサーバー証明書を割り当てる
(3) 自分で、自分用の他のサーバー証明書を量産する
ってことはできるものでしょうか?
要するに、自分で運営しているWebサイト(ドメインがいろいろある)を(1)でまかなうケチケチ作戦です(・∀・)
ttp://e-words.jp/w/E4B8ADE99693E8AA8DE8A8BCE5B180.html
ttps://www.verisign.co.jp/basic/pki/trust/index_4.html
(2) 自分で中間認証局を作り、RapidSSLのサーバー証明書を割り当てる
(3) 自分で、自分用の他のサーバー証明書を量産する
ってことはできるものでしょうか?
要するに、自分で運営しているWebサイト(ドメインがいろいろある)を(1)でまかなうケチケチ作戦です(・∀・)
ttp://e-words.jp/w/E4B8ADE99693E8AA8DE8A8BCE5B180.html
ttps://www.verisign.co.jp/basic/pki/trust/index_4.html
301DNS未登録さん
2013/06/02(日) 19:01:05.76ID:??? できない。
あなたのサーバ用の証明書は、そのサーバ(ドメイン)でしか使えない。
中間認証局用のキーは別に存在する。
まえに中間認証局用のキーが漏れたことがあって、大量に証明書を偽装する事件があったが。
あなたのサーバ用の証明書は、そのサーバ(ドメイン)でしか使えない。
中間認証局用のキーは別に存在する。
まえに中間認証局用のキーが漏れたことがあって、大量に証明書を偽装する事件があったが。
302DNS未登録さん
2013/06/02(日) 19:06:03.97ID:???303DNS未登録さん
2013/06/03(月) 07:50:44.66ID:??? >>300
証明書には「その証明書で他の証明書を発行していいか」
(中間証明書になってもいいか)というフラグがあり、
通常の証明書ではそれがfalseになっているので、無理。
具体的にはX509v3 Basic Constraints: CAの値。
もちろんそれも証明書の署名範囲内なので、無理矢理書き換えれば無効な証明書になる。
証明書には「その証明書で他の証明書を発行していいか」
(中間証明書になってもいいか)というフラグがあり、
通常の証明書ではそれがfalseになっているので、無理。
具体的にはX509v3 Basic Constraints: CAの値。
もちろんそれも証明書の署名範囲内なので、無理矢理書き換えれば無効な証明書になる。
304DNS未登録さん
2013/06/04(火) 09:57:43.60ID:??? >>301-303 参考になりました。どうもありがとうございます。
中間証明書というのがないと、自分で公的な中間認証局を設置できないんですね><
→自分で中間認証局を作りたい場合、中間証明書ってのは、販売されているものなのでしょうか?(聞いたことないです)
普通の用途とは違って、特別なかんじがするから、販売されていたとしても、条件が厳しい・値段が高そうですね?
中間証明書というのがないと、自分で公的な中間認証局を設置できないんですね><
→自分で中間認証局を作りたい場合、中間証明書ってのは、販売されているものなのでしょうか?(聞いたことないです)
普通の用途とは違って、特別なかんじがするから、販売されていたとしても、条件が厳しい・値段が高そうですね?
305DNS未登録さん
2013/06/04(火) 10:50:28.97ID:??? リセラーで調べたら
306DNS未登録さん
2013/06/04(火) 11:39:58.91ID:UyEJo1f2 >>304
いまいち理解してないようだが、認証局作るだけならopenssl使って誰も普通に作れるよ。
で、自分で作った認証局でいくらでも証明書の発行するのも自由。
自分のブラウザに「自分の認証局の証明書をインストール」さえしておけば、
自分で発行した証明書もブラウザは正規の証明書として認識するようになる。
そういう意味では発行し放題。
でもその行為(=得体のしれない認証局の証明書をインストール)は、
要は自分のブラウザのセキュリティを下げてるってことなのよ。
だって、google や yahoo の偽物証明書が返ってきたとしてもエラーにならないから
フィッシングやウィルスの仕込みだってやりたい放題になる。
それが自分にインストール済みの認証局が発行したものだったらブラウザは信じちゃうわけだからね。
なのでテスト目的で自分で作った自分が信頼する認証局を使って自分でやる分には問題ないし。
自分がホンの欠片も疑いを持たないような全幅の信頼を置いている友人が立てた認証局を信頼するのであればやってもよいことになる。
まぁ、俺なら例え友人や家族だろうと素人が立てた認証局なんてインストールしたくないわ。
要は認証局とか証明書っていうのは、信頼の連鎖なわけよ。
俺が信頼すると決めた奴の言うことは俺も100%信頼する、という、さ。
公的な認証局になるってことは他人のセキュリティを支配可能になるということとほぼ同じ。
だから国とか特別な公的な団体とか色んな人間に日々監査され信頼された大企業とか、
特別に「信頼出来る組織」が運用してる認証局しか基本使えないし、使わないの。
OSやブラウザにデフォルトでインストールされている認証局ってのはそういう存在なの。
これだけ説明すれば個人が公的な認証局になるなんてことはほぼ不可能だと分かるだろ?
いまいち理解してないようだが、認証局作るだけならopenssl使って誰も普通に作れるよ。
で、自分で作った認証局でいくらでも証明書の発行するのも自由。
自分のブラウザに「自分の認証局の証明書をインストール」さえしておけば、
自分で発行した証明書もブラウザは正規の証明書として認識するようになる。
そういう意味では発行し放題。
でもその行為(=得体のしれない認証局の証明書をインストール)は、
要は自分のブラウザのセキュリティを下げてるってことなのよ。
だって、google や yahoo の偽物証明書が返ってきたとしてもエラーにならないから
フィッシングやウィルスの仕込みだってやりたい放題になる。
それが自分にインストール済みの認証局が発行したものだったらブラウザは信じちゃうわけだからね。
なのでテスト目的で自分で作った自分が信頼する認証局を使って自分でやる分には問題ないし。
自分がホンの欠片も疑いを持たないような全幅の信頼を置いている友人が立てた認証局を信頼するのであればやってもよいことになる。
まぁ、俺なら例え友人や家族だろうと素人が立てた認証局なんてインストールしたくないわ。
要は認証局とか証明書っていうのは、信頼の連鎖なわけよ。
俺が信頼すると決めた奴の言うことは俺も100%信頼する、という、さ。
公的な認証局になるってことは他人のセキュリティを支配可能になるということとほぼ同じ。
だから国とか特別な公的な団体とか色んな人間に日々監査され信頼された大企業とか、
特別に「信頼出来る組織」が運用してる認証局しか基本使えないし、使わないの。
OSやブラウザにデフォルトでインストールされている認証局ってのはそういう存在なの。
これだけ説明すれば個人が公的な認証局になるなんてことはほぼ不可能だと分かるだろ?
307DNS未登録さん
2013/06/04(火) 11:47:16.27ID:??? 丁寧すぎワロタw
308DNS未登録さん
2013/06/04(火) 11:56:02.85ID:UyEJo1f2 ついでに言うと、
だったらその「公的に認められた認証局」の中に悪人がいたらどうすんの?
って思うかもしれないね。
うん、勿論大変なことになる。
でももし一度でもそんなことをしたらその認証局は誰にも信頼されなくなるよね。
その瞬間から、世界中から「お前はもう信頼しねー」と思われ「あいつは信頼してはいけない」と言われる存在になってしまう。
現実にはそれによって何が起こるかというと、
全世界的にブラックリストな認証局として記録・公開される。
マトモなOSやブラウザなら、デフォルトインストールの認証局リストからそいつを排除するし。
その認証局の証明書をアンインストールするパッチを配布する。
そうなったらもうその認証局は実質的に存在できなくなるわけだ。
発行した証明書はブラウザで警告が表示されて誰も信じてくれない。
当然、証明書の発行を商売にしてたとしたら誰も買わなくなるから潰れる。
世界中から訴訟も起こされるかもしれない。
認証局自身も過ちを犯してしまったらそうなることが分かってるから、
全力で自分の組織を健全に保とうと努力するし、内部からも外部からも監査を徹底することになる。
それは監査を受けることはその組織にとって自分を守ることでもあるわけだ。
そういう目に見えない力が働くことによって、世の中の信頼の連鎖が今日も保たれてるのだよ。
分かった?
だったらその「公的に認められた認証局」の中に悪人がいたらどうすんの?
って思うかもしれないね。
うん、勿論大変なことになる。
でももし一度でもそんなことをしたらその認証局は誰にも信頼されなくなるよね。
その瞬間から、世界中から「お前はもう信頼しねー」と思われ「あいつは信頼してはいけない」と言われる存在になってしまう。
現実にはそれによって何が起こるかというと、
全世界的にブラックリストな認証局として記録・公開される。
マトモなOSやブラウザなら、デフォルトインストールの認証局リストからそいつを排除するし。
その認証局の証明書をアンインストールするパッチを配布する。
そうなったらもうその認証局は実質的に存在できなくなるわけだ。
発行した証明書はブラウザで警告が表示されて誰も信じてくれない。
当然、証明書の発行を商売にしてたとしたら誰も買わなくなるから潰れる。
世界中から訴訟も起こされるかもしれない。
認証局自身も過ちを犯してしまったらそうなることが分かってるから、
全力で自分の組織を健全に保とうと努力するし、内部からも外部からも監査を徹底することになる。
それは監査を受けることはその組織にとって自分を守ることでもあるわけだ。
そういう目に見えない力が働くことによって、世の中の信頼の連鎖が今日も保たれてるのだよ。
分かった?
309DNS未登録さん
2013/06/04(火) 12:44:01.25ID:??? 外部から不正侵入されて偽証明書を発行してしまったオランダの認証局は
信用を失ってその後破産しました。
信用を失ってその後破産しました。
311DNS未登録さん
2013/06/06(木) 14:56:54.83ID:??? >>308
認証局に悪人がいたわけじゃない(マヌケがいたかどうかは別)けど、
VeriSignがMicrosoftの証明書発行でやらかしたことはみんな忘れてあげてるよねw
http://internet.watch.impress.co.jp/www/article/2001/0323/verims.htm
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20010323/1/
DigiNotar(>>309)・Comodo(>>92)・TURKTRUST(>>301-302)がやらかしたことは忘れられてない気がする。
どの程度の監査がされてるか興味がある人はWebTrust for CAとか
Baseline RequirementとかRFC3647とかを調べたらいいと思うんだ
あと>>298にマジレスを追加するなら親にしたい認証局(の運営会社の)株を
50%越のレベルで超大量に買うのもいいと思う。ぼろもうけできるかは別として。
認証局に悪人がいたわけじゃない(マヌケがいたかどうかは別)けど、
VeriSignがMicrosoftの証明書発行でやらかしたことはみんな忘れてあげてるよねw
http://internet.watch.impress.co.jp/www/article/2001/0323/verims.htm
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20010323/1/
DigiNotar(>>309)・Comodo(>>92)・TURKTRUST(>>301-302)がやらかしたことは忘れられてない気がする。
どの程度の監査がされてるか興味がある人はWebTrust for CAとか
Baseline RequirementとかRFC3647とかを調べたらいいと思うんだ
あと>>298にマジレスを追加するなら親にしたい認証局(の運営会社の)株を
50%越のレベルで超大量に買うのもいいと思う。ぼろもうけできるかは別として。
312DNS未登録さん
2013/09/09(月) 17:51:34.81ID:??? アメリカの機関がインターネット上の暗号を解読していたってニュースが
流れていたけど、SSLっていうのは大丈夫なのですか?
流れていたけど、SSLっていうのは大丈夫なのですか?
313DNS未登録さん
2013/09/10(火) 00:29:48.19ID:??? 続報がないことにはさっぱりわかんね
314DNS未登録さん
2013/09/10(火) 17:49:37.63ID:PmXSonc+ ググれば簡単にわかるだろ
315DNS未登録さん
2013/09/12(木) 04:03:54.25ID:??? 盗聴しやすいようにSSLは使わないサービスとかあったなw
316DNS未登録さん
2013/09/17(火) 05:12:48.04ID:??? あれってサーバ側に平文の状態のデータをキャプチャするための
ソフトを入れるのかな(´・ω・`)
ソフトを入れるのかな(´・ω・`)
317DNS未登録さん
2013/09/24(火) 14:31:08.48ID:??? 別にアメリカの機関じゃなくても
多くの大学やら、ハッカー集団がコンテストで破ってんじゃん。
結局イタチごっこなんだよ。
強度の高い暗号→処理速度向上で簡単に破られる→より強度の高い暗号化→
ハッキングに使うPCの処理能力も上がってるけど、
暗号化するためのPCも処理能力上がってるから
時代にあった暗号化技術を採用していけばいいって話だよ。
多くの大学やら、ハッカー集団がコンテストで破ってんじゃん。
結局イタチごっこなんだよ。
強度の高い暗号→処理速度向上で簡単に破られる→より強度の高い暗号化→
ハッキングに使うPCの処理能力も上がってるけど、
暗号化するためのPCも処理能力上がってるから
時代にあった暗号化技術を採用していけばいいって話だよ。
COMODO JAPANっていう所がスパムメール送りつけてくるんだけど
仮にもセキュリティ企業がスパムって頭おかしいんじゃないの?
勝手に送りつけてきて配信停止はこちらじゃねーよ
仮にもセキュリティ企業がスパムって頭おかしいんじゃないの?
勝手に送りつけてきて配信停止はこちらじゃねーよ
319DNS未登録さん
2013/10/16(水) 19:47:32.70ID:4TTt9RYV evintl-ocsp.verisign.com
ocsp.verisign.com
crl.usertrust.com
www.msftncsi.com
ocsp.verisign.com
crl.usertrust.com
www.msftncsi.com
320DNS未登録さん
2013/11/13(水) 17:24:27.05ID:??? SSL証明発行頼んだが、対応が遅すぎて呆れた。
メールしても全然、回答こないし・・・。
メールしても全然、回答こないし・・・。
323DNS未登録さん
2013/11/17(日) 00:59:23.90ID:??? DUNS (International)ってどこで取れるんですか?そもそも国内から取れるものですか?
SSL証明出すのに必要らしいんです
SSL証明出すのに必要らしいんです
324DNS未登録さん
2013/11/17(日) 03:52:48.07ID:??? >>323
すでに番号が付与されてるかどうかまず検索してみたら?
http://www.tsr-net.co.jp/service/database/overseas/get_a_duns_number.html#a_01
すでに番号が付与されてるかどうかまず検索してみたら?
http://www.tsr-net.co.jp/service/database/overseas/get_a_duns_number.html#a_01
325DNS未登録さん
2013/11/18(月) 07:05:08.86ID:???326DNS未登録さん
2013/11/21(木) 00:16:59.80ID:??? 代理店経由なんですが・・・何故か直接シマンテックとやり取りしてるんですよ。
代理店に頼んだ意味がないですよね。
代理店に頼んだ意味がないですよね。
328DNS未登録さん
2013/11/28(木) 05:17:07.17ID:??? 代理店を通さずに、直接、結局やりました・・・。
値段がえらく安かったので驚きです。
代理店って結構、マージン取るんですね。
値段がえらく安かったので驚きです。
代理店って結構、マージン取るんですね。
330DNS未登録さん
2013/11/28(木) 14:53:58.87ID:??? http://www.namecheap.com/で申し込んだけどえらい安かったですよ
騙されたのかな・・・・。
騙されたのかな・・・・。
333DNS未登録さん
2013/11/28(木) 22:26:44.72ID:??? だったのかな〜糞高かったですよ。
RapidSSLでも国内の代理店だと2700円、nemecheapだと9ドルぐらいでしょ。
ぼったくりですよね
RapidSSLでも国内の代理店だと2700円、nemecheapだと9ドルぐらいでしょ。
ぼったくりですよね
334DNS未登録さん
2013/11/29(金) 09:58:15.90ID:??? >>333
そのくらいが相場なのかな。
確かに、内外価格差はかなりある商品だよね。
素人向けの商品じゃないし、ボンボン売れる商品でもないから、
ビジネスを成立させるためにはそのくらいの値段になりそうではある。
そのくらいが相場なのかな。
確かに、内外価格差はかなりある商品だよね。
素人向けの商品じゃないし、ボンボン売れる商品でもないから、
ビジネスを成立させるためにはそのくらいの値段になりそうではある。
335DNS未登録さん
2013/11/29(金) 17:48:02.54ID:??? グローバルサイン、CloudFlareが本鯖タイムアウト画面出しよる
証明書更新でけんワロリッシュ
証明書更新でけんワロリッシュ
336DNS未登録さん
2013/12/12(木) 01:20:18.26ID:??? StartSSLのClass2を検討しています。
個人認証は350日間有効、その間に発行した証明書は2年間有効
とのことですが、個人認証の期限切れ前に証明書を更新すれば
実質3年つかえるということでしょうか。
同じCNの証明書はrevokeするか期限切れ前XX日にならないと
発行できないなど制約はあるのでしょうか?
個人認証は350日間有効、その間に発行した証明書は2年間有効
とのことですが、個人認証の期限切れ前に証明書を更新すれば
実質3年つかえるということでしょうか。
同じCNの証明書はrevokeするか期限切れ前XX日にならないと
発行できないなど制約はあるのでしょうか?
338DNS未登録さん
2013/12/24(火) 14:19:34.69ID:??? FNNニュース: 巧妙な手口のインターネット通販詐欺が急増しています。
ttp://www.fnn-news.com/news/headlines/articles/CONN00260212.html
>>「本物のサイトで、買い物かごに入れるってやった時点で、こういった鍵マークがつき始めます。
>>安全に暗号化して通知をしていますよというマークですね。
>>しかし一方で、偽サイトの方に関しては、1つ、買い物かごに入れてみますと、
>>買い物かごに入れても、特に鍵マークがつかないということですね」
ttp://www.fnn-news.com/news/headlines/articles/CONN00260212.html
>>「本物のサイトで、買い物かごに入れるってやった時点で、こういった鍵マークがつき始めます。
>>安全に暗号化して通知をしていますよというマークですね。
>>しかし一方で、偽サイトの方に関しては、1つ、買い物かごに入れてみますと、
>>買い物かごに入れても、特に鍵マークがつかないということですね」
339DNS未登録さん
2013/12/24(火) 22:12:09.44ID:??? じゃあ俺も fnn-news.net で鍵マークの付く本物のサイトでも作っちゃうかな
340DNS未登録さん
2014/01/14(火) 15:16:18.35ID:??? >>336
その通り。認証が有効な期間と証明書が有効な期間は別。認証が有効な間は証明書を発行し放題で、証明書は発行日から二年間有効。
その通り。認証が有効な期間と証明書が有効な期間は別。認証が有効な間は証明書を発行し放題で、証明書は発行日から二年間有効。
341DNS未登録さん
2014/02/13(木) 20:01:45.10ID:??? シマンテック、ハッシュアルゴリズム「SHA-1」利用停止までのロードマップを解説
ttp://www.atmarkit.co.jp/ait/articles/1402/05/news117.html
ttp://www.atmarkit.co.jp/ait/articles/1402/05/news117.html
343DNS未登録さん
2014/03/09(日) 22:12:33.00ID:???346DNS未登録さん
2014/04/07(月) 16:40:20.07ID:xhP9fcMj347DNS未登録さん
2014/04/09(水) 22:29:09.91ID:??? おまえらHeartbleed対応したか?
面倒くさかったけど、reissueもした。
面倒くさかったけど、reissueもした。
348DNS未登録さん
2014/04/10(木) 02:45:59.14ID:??? OpenSSL更新したのにApache再起動してないアホの子はいませんね?
349DNS未登録さん
2014/04/10(木) 06:57:14.69ID:??? redhat6.4は対象外みたいな書き込み見たけど、up2dateしたら、openssl1.0.1になってたから、お間違えなく。
350DNS未登録さん
2014/04/10(木) 20:40:40.20ID:??? >>348
それなんてDebian?
にしても、StartSSLも再発行無料にしてほしいな。
revokeは本来有償のところ無償でやってくれたという報告あるけど
既にclass2認証切れてるから新たに発行できないんだよな・・・。
それなんてDebian?
にしても、StartSSLも再発行無料にしてほしいな。
revokeは本来有償のところ無償でやってくれたという報告あるけど
既にclass2認証切れてるから新たに発行できないんだよな・・・。
351DNS未登録さん
2014/04/10(木) 23:35:59.09ID:??? うーむ・・・
Please remove StartCom Certification Authority root certificate
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=744027
Please remove StartCom Certification Authority root certificate
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=744027
352DNS未登録さん
2014/04/14(月) 12:14:45.17ID:??? 0.98使ってるんだけど、1.0の最新版にすべきなのかな(Apache2.2)
353DNS未登録さん
2014/04/14(月) 18:26:38.05ID:??? 0.9.8yが最新
レスを投稿する
ニュース
- 【ラジオ】永野芽郁、田中圭との不倫疑惑後初の『ANNX』で謝罪「誤解を招くような行動…反省」「本当にごめんなさい」★4 [Ailuropoda melanoleuca★]
- 【ラジオ】永野芽郁、田中圭との不倫疑惑後初の『ANNX』で謝罪「誤解を招くような行動…反省」「本当にごめんなさい」★3 [Ailuropoda melanoleuca★]
- いじめられていた記憶しかないが…年収2500万円・身長180に急成長・妻も美人なエリート男性が初めて行ってみた「同窓会」 [パンナ・コッタ★]
- コメ5キロ、最高値4220円 16週連続上昇、前年比2倍 ★3 [蚤の市★]
- 自民幹事長 中国の国際交流団体トップにパンダ貸与継続 求める [香味焙煎★]
- 【テレビ】芦田愛菜“好きな納豆の食べ方”語る「週に2〜3回くらいは食べますよ」 [湛然★]
- 【実況】博衣こよりのえちえち朝こよ🧪★2
- 【実況】博衣こよりのえちえち朝こよ🧪★1
- 中国「今年の7月、日本が危ないらしいから不動産購入は慎重にな」自国民に注意喚起😫 [583597859]
- エッホ、エッホ、エッホ、お🏡が立ったって伝えなきゃ
- 【悲報】俺たちの国民民主党さん、「手取25万円なら会社は月50万円払ってる」というデマを流して低学歴氷河期弱者男性を煽動してしまう… [257926174]
- GU中発した言葉書いてけWWW