X
トップページ自宅サーバ
666コメント218KB
【認証局】SSLに関するスレ 2枚目【ぼろ儲け】
0001DNS未登録さん
垢版 |
2010/10/08(金) 19:15:04ID:D3awGtmQ
誰も立てないようなので立てた。

【主な認証局】

VeriSign : http://www.verisign.com/ , http://www.verisign.co.jp/

Thawte : http://www.thawte.com/ , http://www.jp.thawte.com/ (親会社は VeriSign)

CyberTrust: http://www.cybertrust.com/ , http://www.cybertrust.ne.jp/

GeoTrust : http://www.geotrust.com/ , http://www.geotrust.co.jp/ (親会社は VeriSign)

RapidSSL : http://www.rapidssl.com/ (親会社は VeriSign)

Comodo : http://comodo.com/ , http://www.comodojapan.com/

GoDaddy (StarField) : http://www.godaddy.com/

GlobalSign : http://www.globalsign.com/ , http://jp.globalsign.com/

Secure Business Services: http://www.securebusinessservices.com/

セコム : http://www.secomtrust.net/service/ninsyo/forweb.html

StartSSL : http://www.startssl.com/

CAcert.org : http://www.cacert.org/ (※ほとんどのブラウザにルート証明書が含まれていない)
0423DNS未登録さん
垢版 |
2015/02/16(月) 15:52:13.22ID:K1PteRcR
ビットコインをはじめよう
1000円分のビットコインがもらえます!

https://bitflyer.jp/gift/fn0tlipl

とにかく一応もらっておくといいです。
0424DNS未登録さん
垢版 |
2015/02/16(月) 20:46:07.47ID:K1PteRcR
ビットコインをはじめよう
1000円分のビットコインがもらえます!

https://bitflyer.jp/gift/fn0tlipl

とにかく一応もらっておくといいです。
0425DNS未登録さん
垢版 |
2015/02/18(水) 02:23:30.65ID:???
>>422
https://support.servertastic.com/japan-region-pricing/
https://support.servertastic.com/reseller-japan-region-pricing-faq/

対象:
- .jpで終わるドメイン名
- EV (Extended Validation), OV (Organization Validated)のときは日本で登記してる組織
- IPアドレスレンジが日本

RapidSSLでよくて.jp以外のドメイン名つかってて、一時的に海外VPSにAなりMXなり向けられるやつなら回避可能っぽいな
0427DNS未登録さん
垢版 |
2015/02/22(日) 06:50:13.80ID:???
RapidSSL ごときに$80 も払うんなら、Let's Enctypt でいいや。
各ブラウザとも、CA証明書のっけてくるだろうし。
0428DNS未登録さん
垢版 |
2015/02/22(日) 14:17:20.48ID:???
来年はCOMODOに戻るかみたいな感想だけど
他に安くておおむね使えるCAというとどこらへんがあるかね。
0429DNS未登録さん
垢版 |
2015/02/22(日) 17:06:13.58ID:???
もうStartSSLでいいんじゃね?
認証局として云々はアレだけど、実用上はほぼ問題無いと言ってもいいだろうし。
Let's Enctyptでもいいよね。

よっぽどの理由が無い限り、無料の証明書を使うって言う流れになるんじゃねーかな?
0431DNS未登録さん
垢版 |
2015/02/22(日) 20:55:02.20ID:???
数十%値上げとかならわからんでも無いけど、日本向けだけ最大約10倍の値上げとか、
正気の沙汰じゃ無いよな。なんか日本のシマンテック内にキチガイがいるんじゃね?
0432DNS未登録さん
垢版 |
2015/02/22(日) 23:27:19.86ID:???
そのうち Let's Encryptも日本だけ有料とか言い出したりしてな
0433DNS未登録さん
垢版 |
2015/02/23(月) 08:03:46.88ID:???
このスレってSHA2移行の話とかはスレ違い?
0437DNS未登録さん
垢版 |
2015/02/24(火) 08:18:55.01ID:???
スレ違いで無ければ&知見がある方がいれば教えてください…。

Symantecや関連会社(ジオトラスト等)のSHA2移行説明ページを見ると、Android 1.5以降が対応してると載っています。
http://www.symantec.com/ja/jp/page.jsp?id=ssl-sha2-transition

ただ、他の認証局をサイトを見るとだいたいAndroid 2.3以降で対応と書いてあります。
実際のところがどうかとか、Google側の資料があるか等ご存知の方いらっしゃいますか。
0439DNS未登録さん
垢版 |
2015/02/24(火) 15:51:47.29ID:???
ブラウザでのサポートが終了するのをきっかけに急に盛り上がってきている感じなのかな。
POODLE対応でもサクッとiモードのサポートを切ったコンテンツも多いですよね。
古い実装のウェブサーバやSSLオフロード系での対応が難しいのかな。
0440DNS未登録さん
垢版 |
2015/02/24(火) 16:58:51.16ID:???
納豆なんて毎日食ってると痛風になるぞ
0443DNS未登録さん
垢版 |
2015/02/24(火) 21:33:06.50ID:???
何をいまさら騒いでるの?って感じだな。
自宅サーバ管理者なので数年前にSHA-256に移行済みですし。
0445DNS未登録さん
垢版 |
2015/02/25(水) 05:27:03.64ID:???
自宅サーバの板だから殆どが移行してるわな
新しもの好きも多いと思うからw
0446DNS未登録さん
垢版 |
2015/03/09(月) 12:20:20.15ID:???
SHA1かつ2017年以降有効な証明書使い続けてるとChrome41から赤い警告になるって話だったのに
南京錠が消えて白いだけ(Chrome40と変わってない)な気がする。
方針変わったのかね。
0448DNS未登録さん
垢版 |
2015/04/16(木) 18:43:03.52ID:???
RapidSSLが4倍近く値上げされたのは分かったが
これから取得・更新する証明書だけの話じゃないのん?

よく分からんがシマンテック死ねってことでいいの?
0450DNS未登録さん
垢版 |
2015/04/16(木) 20:52:20.50ID:???
代理店から追加のメール来て発行済のは問題無いらしいことがわかった。

次どうするかな
0451DNS未登録さん
垢版 |
2015/04/16(木) 21:06:37.15ID:???
もうちょいしたらフロンティアなんたらが無料証明書配りだすだろうけど
モバイルは全滅するのかね
0452DNS未登録さん
垢版 |
2015/04/22(水) 16:58:24.21ID:???
>>422,>>425 の続報
servertasticはJapan Regionちょっと値下げした
ttps://twitter.com/servertastic/status/589106531548864513
それでも高い
0453DNS未登録さん
垢版 |
2015/04/26(日) 04:39:54.70ID:???
日本向けSSL証明書販売について
ttp://www.rapid-ssl.jp/rapidssl-news/archives/65
0455DNS未登録さん
垢版 |
2015/05/16(土) 15:56:05.65ID:???
1個のドメインに対してSSL証明書を複数買えるの?

たとえば、www.baka.comドメインで、ComodoとRapidSSLを2つ、来月から一年間。
上位がぶつからなければ購入できますか?

  ε ⌒ヘ⌒ヽフ
 (   (  ・ω・) ブヒ
  しー し─J
0456DNS未登録さん
垢版 |
2015/05/16(土) 16:38:30.70ID:???
同じ認証局からでも買えるけど…負荷分散のときとか。
0457DNS未登録さん
垢版 |
2015/05/16(土) 16:51:34.50ID:???
>>456
負荷分散用にOUだけ変更して同じCNの証明書購入したのを思い出したが
同じ証明書を複数のサーバでつかえない理由が思い出せない…。
最近は負荷分散装置自身でSSL終端せるほうが主流なのかな。
0458DNS未登録さん
垢版 |
2015/05/16(土) 17:16:21.53ID:???
少し前に見たら、みずほオンラインが有効期限の違う証明書2つ?設定してたな。
SHA-1署名の場合に有効期限みて警告出すChromeの仕様で、
アクセスすると南京錠アイコンが緑になったり黄色になったりしてた。
今は期限短い証明書に入れ替えてるかもしれんが。
0459DNS未登録さん
垢版 |
2015/05/16(土) 21:33:24.07ID:???
>>455
****.baka.com で分散させるなら、ワイルドカード対応の証明書を買う必要がある。

複数のサーバで同じCNの www.baka.com を使うなら、それぞれに1つずつ証明書を買う必要がある。
もしくは、(ComodoやRapidSSLは未対応だが) マルチプルサーバー対応の証明書であれば最初から複数台のサーバで使える。
0460DNS未登録さん
垢版 |
2015/05/16(土) 21:48:43.92ID:???
baka.comって20年も前から保有されてるのな
0461455です
垢版 |
2015/05/16(土) 23:12:51.89ID:???
購入はできるんですね。
ありがとうございました。

これから、ComodoとRapidSSLとStartSSLの計三個申し込んできます。
ちなみに、分散用ではなくテスト用です。

     ヘ⌒ヽフ
    ( ・ω・) dd
    / ~つと)
0462DNS未登録さん
垢版 |
2015/05/17(日) 16:56:24.15ID:???
ああ、携帯端末の証明書サポート沼か…
0463DNS未登録さん
垢版 |
2015/06/23(火) 23:38:22.34ID:???
無料のやつとほんのわずかでも有料のやつとで、具体的に違いある?
0467DNS未登録さん
垢版 |
2015/07/17(金) 22:53:56.15ID:???
Comodo PositiveSSLってあの値段でECDSA証明書発行してくれるんだな
試しにECDSA 256bitのCSR突っ込んでみたら普通に発行された
0468DNS未登録さん
垢版 |
2015/07/18(土) 23:11:28.41ID:???
>>467
中間証明がどうしても分からない。
特に入れなくてもwebは見えるんだけどopenssl s_client -connect
ではエラーするt
0471DNS未登録さん
垢版 |
2015/07/25(土) 21:36:06.79ID:???
GoGetで買ったcomodoをさくらインターネットのレンタルサーバに(SNI証明書)入れてテストしているのですが、AndroidのChromeで警告が出てしまいます
エラーメッセージがコピペできなかったのでスクリーンショット貼ります
http://i.imgur.com/TNPZomn.jpg
解決方法(サイト閲覧者の手を煩わせることなく、エラーを出さずにSSL接続を提供する方法)を教えてください。
0473DNS未登録さん
垢版 |
2015/07/25(土) 22:49:38.12ID:???
ページ更新したらダメになったわ
VPSの方で設定ミスってるとか?
0474DNS未登録さん
垢版 |
2015/07/25(土) 23:58:28.94ID:???
https://help.さくら.ad.jp/app/answers/detail/a_id/2326
-----
インストール可能な証明書
本サービスにおける独自SSL機能はシマンテック・ウェブサイトセキュリティ 、
セコムトラストシステムズ、 GMOグローバルサインが発行するテスト用のサーバ証明書にて
動作を確認しています。 その他の証明書では正常にインストール、及び動作しない場合も
ありますのでご注意ください。
-----
なんていうのもあったけど、共用レンサバはCOMODOのCA証明書は自分じゃ入れられないのかな。
0477DNS未登録さん
垢版 |
2015/07/26(日) 01:36:25.89ID:UGPPVat3
>>475>>476
中間証明書!そういうのもあるのか
ちょっとシマンテックのナレッジベースのSO22877読んできます
0479DNS未登録さん
垢版 |
2015/07/26(日) 09:48:23.46ID:???
>>478
やってみましたが、総合C判定でした。
弱いDH KeyでB判定
TLS1.2が推奨されているが1.0しか対応してないためC判定
リファレンスブラウザでForward Securityがサポートされていないとのことでした。

http://stackoverflow.com/questions/11340298/certificate-trusted-on-pc-but-not-in-android
>ドメイン+中間+ルートを:使用しているものをウェブサーバに応じて、すべての証明書を指定します(ドメイン証明書、中間およびルート)
>またはために、1つ(nginxのための例)にそれらを結合する必要があります。SSHターミナルでこれを行う簡単な方法は、次のように入力して、次のとおりです。
>
>猫domainfile intermediatefile rootfile > TARGETFILE
テキストエディタでただ結合するだけで良さそうなので、後でパソコン起動した時にやってみます。
0480DNS未登録さん
垢版 |
2015/07/26(日) 15:11:08.34ID:???
中間証明書とっかえひっかえしてたら正常になったみたいです。ありがとうございました。
0481DNS未登録さん
垢版 |
2015/07/31(金) 10:17:38.34ID:???
>弱いDH KeyでB判定

これはまだ logjam から日が浅いし 1024bit DH が WEAK だという認識も浸透してないから仕方ないけど

>TLS1.2が推奨されているが1.0しか対応してないためC判定
>リファレンスブラウザでForward Securityがサポートされていない

これは駄目だろう

さくらのデフォ設定がこんな糞なのか?
自分で設定した結果がこれなのか?
0482DNS未登録さん
垢版 |
2015/07/31(金) 20:59:19.08ID:???
同じく一部のAndroidのchromeで
この接続ではプライバシーが保護されません
が表示されるようになったのですが
sha-1からsha-2にすれば直りますか
それともbind9.xの影響でしょうか
0484DNS未登録さん
垢版 |
2015/08/07(金) 12:44:57.80ID:V+X5oBhd
>>429
無料SSLで Class1一本
か、オレオレ証明書一本が
正解だね

>>430
確かに販売しないと書いてるな
0485DNS未登録さん
垢版 |
2015/08/08(土) 01:43:01.75ID:???
>>484
このスレ的にはSANやワイルドカードの証明書で遊びたい人もいるでしょ
0486DNS未登録さん
垢版 |
2015/08/08(土) 03:17:34.33ID:???
もうSNI使っていい頃合いでしょー。。
0487DNS未登録さん
垢版 |
2015/08/08(土) 13:02:12.45ID:???
さすがにオレオレ証明書はないだろう
0488DNS未登録さん
垢版 |
2015/08/09(日) 03:15:17.88ID:???
CNを適当な文字列にしたオレオレをSNIのデフォルト証明書として使ってる
0489DNS未登録さん
垢版 |
2015/08/09(日) 03:44:13.69ID:???
startSSLの秘密鍵までおまかせで作ってくれちゃうウィザードはちょっと…
NSA大喜び
0490DNS未登録さん
垢版 |
2015/08/09(日) 23:48:51.99ID:KzgHtJ4q
>>489
skipすればよし
0491DNS未登録さん
垢版 |
2015/08/13(木) 11:16:24.69ID:ibM/gQZD
通信の相互認証はいいから、通信の暗号化だけしたい場合どーすればいいの?
SSLは認証局への登録がめんどくせーんだよカス
0492DNS未登録さん
垢版 |
2015/08/13(木) 15:45:22.73ID:???
攻撃者との間で一生懸命暗号通信するの?
0493DNS未登録さん
垢版 |
2015/08/13(木) 15:58:27.49ID:ibM/gQZD
なりすましの可能性は目をつぶって、盗聴の恐れはなくしたいって場合の話
それともそんな中途半端な要求あんの?ってのが大半のお方の考え?
0494DNS未登録さん
垢版 |
2015/08/13(木) 16:00:51.61ID:ibM/gQZD
sshの共通鍵認証程度のセキュアさでいいから手軽に暗号化できるhttpないの?
0495DNS未登録さん
垢版 |
2015/08/13(木) 16:02:29.38ID:ibM/gQZD
×共通鍵認証
○公開鍵認証
0496DNS未登録さん
垢版 |
2015/08/13(木) 16:28:26.80ID:???
>>493
なりすまして通信を中継すれば盗聴は簡単。人はこれをMITMという。

自分しか使わないならopensslでルート証明書作ってインスコすればいいんじゃないかな。
0498DNS未登録さん
垢版 |
2015/09/15(火) 17:15:50.10ID:mWCuAaq9
サーバ証明書、単独・ワイルドカードどっちも高杉
co.jpなドメインの購入で登記とか確認するー、ってわけでもないのになんでこんな高いの

昔に比べりゃわずかに安くはなったが
ルート証明書に採用されてるのがベリサインだけですって時代でもないのに
0499DNS未登録さん
垢版 |
2015/09/15(火) 21:35:23.55ID:???
>>498
そう思うなら、RapidSSLとか、PositiveSSLとか、StartSSLとか使えばいいだけでは?
0500DNS未登録さん
垢版 |
2015/09/15(火) 23:28:51.08ID:???
StartSSLのClass 1(無料のやつ)は商用はダメというライセンスなので注意。

認証局の秘密鍵を厳重に保管するにもコストはかかるわけだから全く無料というわけには行かないが
十分安いと思うけどね。今でも高いと思うならいくらぐらいが適当だと思う?
0501DNS未登録さん
垢版 |
2015/09/16(水) 14:18:12.86ID:3wIs0MHv
>>500
これよく言われるけどオフィシャルに書いてあったけ?
0502DNS未登録さん
垢版 |
2015/09/16(水) 14:25:24.51ID:3wIs0MHv
ごめんPolicyのPDFの3.1.2.1に書いてあった、、
0503DNS未登録さん
垢版 |
2015/09/29(火) 13:01:25.03ID:???
RapidSSLの1万円ぐらいのワイルドカード使ってるけど特に問題ないよ
俺の知識が間違ってて *.domain.abc の * 部分は何でもOKと思ってたけど、
???.*.domain.abc はダメだって言うの初めて知った。
0504DNS未登録さん
垢版 |
2015/09/29(火) 17:51:40.42ID:???
サーバー証明書の無料配布プロジェクト「Let's Encrypt」、最初の証明書を発行
ttp://itpro.nikkeibp.co.jp/atcl/news/15/091703018/
2015年9月14日、最初の証明書を発行し、同プロジェクトのWebサイトに導入したことを明らかにした。一般への提供開始は2〜3カ月以内を予定。
今回の証明書のルート認証局はISRGである。ISRGは、信頼できる認証局としてOSやWebブラウザーに登録されていない。
1カ月以内に、一般的なルート認証局とのクロスルートにより、エラーメッセージは表示されなくなるという。
0505DNS未登録さん
垢版 |
2015/09/29(火) 23:14:14.70ID:???
>>504
ワイルドカードはサポートしないらしいけど、SANもだめ?
0506DNS未登録さん
垢版 |
2015/09/29(火) 23:50:23.25ID:???
なんでここで聞こうとするのかわからないな
0508DNS未登録さん
垢版 |
2015/10/17(土) 03:00:44.94ID:6xmiSxP1
>>505
SANsに対応するとForumかサポートのFAQに書いてあった気がする。
ググったらでてくると思う。
0509DNS未登録さん
垢版 |
2015/11/04(水) 13:58:16.57ID:???
無償で利用できるSSL証明書発行サービスであるLet's Encryptで証明書を発行してみた

ttp://dev.classmethod.jp/server-side/lets-encrypt-beta/
オレオレ証明みたいだけど。
0510DNS未登録さん
垢版 |
2015/11/04(水) 14:06:53.89ID:???
まだクローズベータなのかはよしてくれ
0511DNS未登録さん
垢版 |
2015/11/07(土) 13:49:05.02ID:a0CPC/72
就労移行支援事業所は、利用者1名×1日で行政から1万円前後の補助金が出てるんだよね。。
0512DNS未登録さん
垢版 |
2015/11/19(木) 17:24:46.34ID:???
let's encrypt 12月3日からPublic Beta に。
まともに使えるようになるのかな。
90日の期限だし自動更新というのも怪しげで
期待してもよいものなんだろうか
0513bluetooth
垢版 |
2015/11/21(土) 05:39:35.23ID:???
Program Files\CSR\CSR Harmony Wireless Software Stack

cert_install.bat
@ECHO OFF
cd .
call certmgr.exe /add HarmonyTest.cer /s /r localMachine root
call certmgr.exe /add HarmonyNewTest.cer /s /r localMachine root


Harmony(Test).cer
HarmonyNew(TEST).cer
bluetooth

bluetooth追加後、証明書が書き込まれる。

https://www.ssllabs.com/index.html

TLS 1.0、Triple DES / 168 ビット暗号 (高); RSA / 2048 ビット交換

kb3081320
WEPOS および POSReady 2009 のセキュリティ更新プログラム (KB3081320)
schannel.dll
5.1.2600.6926
(xpsp_sp3_qfe.150921-2029)
TLS / SSL Security Provider
0514DNS未登録さん
垢版 |
2015/11/21(土) 11:19:29.41ID:???
そういえば・・・Win10の証明書エクスポートウィザードの
「証明書のプライバシーを有効にする」ってどういうパラメータ?
0515DNS未登録さん
垢版 |
2015/11/29(日) 15:16:27.48ID:5CNKQzVi
>>509
Let's Encrypt はまだクローズベータだけど既にオレオレ証明書じゃなくなったみたいだよ

https://letsencrypt.jp/

> Let's Encrypt のローンチスケジュールは延期されてきましたが、2015年12月3日 に Let's Encrypt 公開ベータプログラム(Public Beta Program)が開始される予定です。

とのこと
0517DNS未登録さん
垢版 |
2015/11/30(月) 20:13:24.86ID:JERLZ0EO
スレタイ通りの認証局ボロ儲けの時代は早くも終わったな
そう、let's encrypt によってね
0518DNS未登録さん
垢版 |
2015/12/01(火) 00:08:07.79ID:???
オレオレ証明書使ってたヤツがそれを使うようになるだけじゃないの?
0519DNS未登録さん
垢版 |
2015/12/01(火) 01:17:34.11ID:???
>>518
ラビットSSLとかの格安系使っていた人もLet's Encryptに流れると思うよ

どっちにしろドメイン名を認証しているだけのDV証明書であることに変わりないんだから無料の方がよいし

Let's は、ブラウザ Mozilla Firefox を作っているモジラ財団とか、 ネットワーク機器大手のシスコとか、
ネットワークインフラ大手のAkamaiとかが出資している大規模なプロジェクトだから、
無料といっても、商用の認証局と同等に、安定性・信頼性も高い
0520DNS未登録さん
垢版 |
2015/12/01(火) 19:58:47.56ID:???
有効期間が90日というのが気になるけど、中途半端に長くて手順を
思い出しながら手動で更新するよりも、自動で更新したほうが
結果的にはよさそうだな。
0521DNS未登録さん
垢版 |
2015/12/02(水) 15:09:42.26ID:???
中国の無料認証局は話題にでないな。
0522DNS未登録さん
垢版 |
2015/12/04(金) 23:16:06.88ID:???
>>521
中国のってあれね。3年のを出してくれるらしいけど、さすがに嫌。
3年なら\3,000位でcomodoでなら取れるんでしょそれぐらいは出すわ
0523DNS未登録さん
垢版 |
2015/12/05(土) 09:47:29.52ID:???
>>522
ちょっとググれば、3年で$15.00ってのがある>Comodo
新着レスの表示
レスを投稿する

ニューススポーツなんでも実況