【認証局】SSLに関するスレ1枚目【ぼろ儲け】
1 :リアル3歳児 ◆DVDR/r8S8s :
セキュ板でもUNIX板でも、ろくすっぽ話題にならないので立ててみますた。
自宅サーバでもSSLきちっと使いたい人は多いと思う。
ただ、自分だけで使うならともかく、公開するならCAの問題つーか
証明書取るコストが問題なんですよね。
また技術的な面でも色々情報交換しましょう。
今はhttp以外のプロトコルでもSSLを使った実装が増えてきてますし。
自宅サーバでもSSLきちっと使いたい人は多いと思う。
ただ、自分だけで使うならともかく、公開するならCAの問題つーか
証明書取るコストが問題なんですよね。
また技術的な面でも色々情報交換しましょう。
今はhttp以外のプロトコルでもSSLを使った実装が増えてきてますし。
|
|
|
2枚目はないよ
3 :DNS未登録さん:03/12/14 03:36 ID:Z1USuUcd
(参考)
認証局関連のリンク
ttp://www.nakajima.com/takao/secuca001.html
自前認証局でSSLクライアント認証
ttp://evo.human.waseda.ac.jp/~shigeki/linux/ca.html
自分の認証局を立ち上げるときの参考になるページ
ttp://www.nakajima.com/takao/howtoca.html
SSLによる暗号化通信および認証に関する研究
ttp://www.nagano-it.go.jp/jyouhou/report/2000/0014.pdf
認証局関連のリンク
ttp://www.nakajima.com/takao/secuca001.html
自前認証局でSSLクライアント認証
ttp://evo.human.waseda.ac.jp/~shigeki/linux/ca.html
自分の認証局を立ち上げるときの参考になるページ
ttp://www.nakajima.com/takao/howtoca.html
SSLによる暗号化通信および認証に関する研究
ttp://www.nagano-it.go.jp/jyouhou/report/2000/0014.pdf
4 :リアル3歳児 ◆DVDR/r8S8s :03/12/14 03:40 ID:Z1USuUcd
5 :DNS未登録さん:03/12/14 03:48 ID:f9Rff7LY
はやくねろ
じゃあ2ちゃんねるCA とか作ろうぜ(笑)
9 :リアル3歳児 ◆DVDR/r8S8s :03/12/14 13:05 ID:Z1USuUcd
実際、証明書買うとなったら、ナン百万も出してられないので
どっかのリセラーで買うことになると思いますが、色々見てみると
けっこう安いところもあるようです。
しかし案の定つーか、CAが聞いたことがないような所だったりして
IEやNNにデフォルトではルート証明書が入ってないから、利用者側に
一度インストールさせる手間がかかるようです。
そんなのだったら、自前で認証局サーバ立てちまうのもいいかも、
とか思う今日この頃なのです。
2ちゃんねるCA作るにしても、誰かが一手に引き受けないといけないのが難点かな。
某DNS互助会みたいに相互で認証し合うのは仕組み上煩わしいから。
どっかのリセラーで買うことになると思いますが、色々見てみると
けっこう安いところもあるようです。
しかし案の定つーか、CAが聞いたことがないような所だったりして
IEやNNにデフォルトではルート証明書が入ってないから、利用者側に
一度インストールさせる手間がかかるようです。
そんなのだったら、自前で認証局サーバ立てちまうのもいいかも、
とか思う今日この頃なのです。
2ちゃんねるCA作るにしても、誰かが一手に引き受けないといけないのが難点かな。
某DNS互助会みたいに相互で認証し合うのは仕組み上煩わしいから。
なんとなく、>>9を見て、>>1は自分で安い認証局を探すのが嫌だから人に聞いて済ませようと
思っただけなんじゃないかという気がしてきた。
本当に自分で色々調べたなら、「何百万」もかからないと言うことを知っているはずだから。
以下に割と有名な日本語で申しこめるところを列挙しとくが、高いと評判のベリサインジャパンですら
年額8万くらいだぞ。
ベリサイン 85050円
http://www.verisign.co.jp/server/products/
セコムトラストネット 65,000円
http://www.secomtrust.net/service/ninsyo/forweb.html
日本認証サービス 58,000円
http://www.jcsinc.co.jp/service/server.html
ジオトラスト 34,800円
http://www.geotrust.co.jp/quickssl_premium/index.html
SecureStage(ジオトラストの代理店ぽい) 18000円
http://jp.securestage.com/
思っただけなんじゃないかという気がしてきた。
本当に自分で色々調べたなら、「何百万」もかからないと言うことを知っているはずだから。
以下に割と有名な日本語で申しこめるところを列挙しとくが、高いと評判のベリサインジャパンですら
年額8万くらいだぞ。
ベリサイン 85050円
http://www.verisign.co.jp/server/products/
セコムトラストネット 65,000円
http://www.secomtrust.net/service/ninsyo/forweb.html
日本認証サービス 58,000円
http://www.jcsinc.co.jp/service/server.html
ジオトラスト 34,800円
http://www.geotrust.co.jp/quickssl_premium/index.html
SecureStage(ジオトラストの代理店ぽい) 18000円
http://jp.securestage.com/
>>13
> 今後、半年から1年程度の試験運用の後、
> より機能を高めた電子認証局の運用を有償とすることで、
> インターネット上のセキュリティをビジネスとして取り組んでいく考えです。
ってプレスリリースに書いてありますた。
> 今後、半年から1年程度の試験運用の後、
> より機能を高めた電子認証局の運用を有償とすることで、
> インターネット上のセキュリティをビジネスとして取り組んでいく考えです。
ってプレスリリースに書いてありますた。
>>6
うちはC○MODOで2年/$114というのを自宅鯖(DDNS&個人名)にしてみた
自己満足にしか使っていない(IE/NNとかならデフォでrootにはいってる)
1ヶ月無料トライアルが使える(この間に設定方法をいろいろ試して、出来ると踏んでから2年購入)
やり方が悪かったのかもしれんが1ヶ月トライアルは日本の代理店は絡んでないようで
全部英語のページに飛ばされた。・・・やりとりも英語で良く解らなかった。
個人だったので証明書としてパスポートと運転免許証の写しをメールで送ったが3ヶ月くらい
音沙汰なしで忘れた頃に認証しましたのメールがきた。
やるならがんばれ
うちはC○MODOで2年/$114というのを自宅鯖(DDNS&個人名)にしてみた
自己満足にしか使っていない(IE/NNとかならデフォでrootにはいってる)
1ヶ月無料トライアルが使える(この間に設定方法をいろいろ試して、出来ると踏んでから2年購入)
やり方が悪かったのかもしれんが1ヶ月トライアルは日本の代理店は絡んでないようで
全部英語のページに飛ばされた。・・・やりとりも英語で良く解らなかった。
個人だったので証明書としてパスポートと運転免許証の写しをメールで送ったが3ヶ月くらい
音沙汰なしで忘れた頃に認証しましたのメールがきた。
やるならがんばれ
このスレ終了。
すでに>>7
でいってるとおり。
サービス範囲が決まってて知り合いばっかりだったら別に自鯖にCA仕込んで
CA証明書クライアントに配って終わり。
上位CAと信頼関係確立したいんなら素直に金払えよこの貧乏人が。
すでに>>7
でいってるとおり。
サービス範囲が決まってて知り合いばっかりだったら別に自鯖にCA仕込んで
CA証明書クライアントに配って終わり。
上位CAと信頼関係確立したいんなら素直に金払えよこの貧乏人が。
17 :DNS未登録さん:03/12/29 15:00 ID:AKp7DuQ6
18 :名無しさん@お腹いっぱい。:03/12/30 16:01 ID:???
くだらん。藻前らヴァカばっか。
by よしかわ与太郎風
by よしかわ与太郎風
馬鹿ばっか
by ルリルリ風
by ルリルリ風
最近矢印を使う奴増えたな。
大抵言いたい事も良く伝えられない厨房なんだけどな。
大抵言いたい事も良く伝えられない厨房なんだけどな。
↑↑↑
23 :DNS未登録さん:04/01/05 17:59 ID:K+BGwjsb
http://www.ev1servers.net/english/index.asp
ここだと$19.95でChainedSSLの証明書が取得できる。
ただ、InstantSSL Proのように個別にLogoをもらえないんだよね。
まぁ、そこは値段との兼ね合いかな?
とりあえず警告でないだけいいや。と思って使ってます。
ここだと$19.95でChainedSSLの証明書が取得できる。
ただ、InstantSSL Proのように個別にLogoをもらえないんだよね。
まぁ、そこは値段との兼ね合いかな?
とりあえず警告でないだけいいや。と思って使ってます。
25 :DNS未登録さん:04/01/08 10:01 ID:x+jSlQnq
こういった安い証明書を携帯ブラウザが受け入れるのかどうか知りたいよね。
漏れauのbrew機使っているので、自宅サーバでp2使ってます。
生のhttpにパスワード流したくないので、ssl用意したら、
携帯ブラウザが自己証明書を拒否してくれて...
漏れauのbrew機使っているので、自宅サーバでp2使ってます。
生のhttpにパスワード流したくないので、ssl用意したら、
携帯ブラウザが自己証明書を拒否してくれて...
26 :DNS未登録さん:04/01/08 11:51 ID:RMqYSyCQ
金持ち父さん貧乏父さんを読みましたか?アメリカでは日本とさほど物価が変わらないのに
広い庭にプール付の一戸建てを持っている人多いですよね?
それはアメリカ人の大半が『不労所得』を得ているからです。
日本でも既に始まっています。下の最強情報です。初心者向けなので安心です。
みんな黙っているけど、隣の人も不労所得を得ているんですよ。
お金に興味の無い方は見ないでください…驚愕の内容なので。
http://www.google.com/search?q=%E6%9C%80%E5%BC%B7+%E3%83%90%E3%83%96%E3%83%AB&ie=UTF-8&oe=UTF-8&hl=ja&lr=
広い庭にプール付の一戸建てを持っている人多いですよね?
それはアメリカ人の大半が『不労所得』を得ているからです。
日本でも既に始まっています。下の最強情報です。初心者向けなので安心です。
みんな黙っているけど、隣の人も不労所得を得ているんですよ。
お金に興味の無い方は見ないでください…驚愕の内容なので。
http://www.google.com/search?q=%E6%9C%80%E5%BC%B7+%E3%83%90%E3%83%96%E3%83%AB&ie=UTF-8&oe=UTF-8&hl=ja&lr=
28 :DNS未登録さん:04/01/09 03:17 ID:S9VUSwL6
たしかAUはベリ以外ダメだったような・・・。
29 :DNS未登録さん:04/01/09 06:31 ID:kRPMaqeG
http://www.au.kddi.com/ezfactory/tec/spec/ssl.html
>WAP2.0搭載端末およびEZサーバには次のルート証明書が組み込まれています。
>
>・VeriSign Class 3 Primary CA
>・RSA Secure Server CA
だってさ、うーむ。
>WAP2.0搭載端末およびEZサーバには次のルート証明書が組み込まれています。
>
>・VeriSign Class 3 Primary CA
>・RSA Secure Server CA
だってさ、うーむ。
http://slashdot.jp/comments.pl?sid=124426&cid=408831&pid=408831&startat=&threshold=-1&mode=nested&commentsort=0&op=%CA%D1%B9%B9
なんかの話だと
SECOM/EntrustでもAUは大丈夫みたいだね
なんかの話だと
SECOM/EntrustでもAUは大丈夫みたいだね
あげ
ベリでOKてことは、
thawteもOKてこと?
thawteもOKてこと?
33 :DNS未登録さん:04/01/25 11:31 ID:CSGvseYn
COMOD〇は i-mode対応してるらしいYO。
http://www.trustlogo.co.jp/handy_phone.htm
http://www.trustlogo.co.jp/handy_phone.htm
あげ
35 :DNS未登録さん:04/01/29 13:44 ID:667nh6Ek
法人のサイトに使用するんだけど、
この場合、法人名義でとるのと、個人名義(担当者名義)で
取るのどちらがいいんでしょう?
法人だと書類が手間がかかりそうで。
この場合、法人名義でとるのと、個人名義(担当者名義)で
取るのどちらがいいんでしょう?
法人だと書類が手間がかかりそうで。
36 :通りすがり:04/01/29 14:22 ID:MSWkojGm
教えて下さい。
SSL サーバー証明書って作れないですか?
SSL サーバー証明書って作れないですか?
>33
i-modeはどうでもいいんだよ。自己署名だって警告は出るけど受け付けるし。
Ez-webはどうなんだろね。
>35
常識で考えよう。
そのサイトは担当者の趣味か?それとも会社としてやってんのか?
i-modeはどうでもいいんだよ。自己署名だって警告は出るけど受け付けるし。
Ez-webはどうなんだろね。
>35
常識で考えよう。
そのサイトは担当者の趣味か?それとも会社としてやってんのか?
39 :DNS未登録さん:04/02/02 06:36 ID:WZrEEx7M
保守アゲ
40 :DNS未登録さん:04/02/03 01:19 ID:MeS9YLnu
>>38
巛彡彡ミミミミミ彡彡
巛巛巛巛巛巛巛彡彡
r、r.r 、|::::: |
r |_,|_,|_,||:::::: ⌒ ⌒|
|_,|_,|_,|/⌒ -="- (-="
|_,|_,|_人そ(^i '"" ) ・ ・)""ヽ
| ) ヽノ |. ┃`ー-ニ-イ`┃ そうでっか、そうでっか、なるほどね
| `".`´ ノ ┃ ⌒ ┃|
人 入_ノ´ ┃ ┃ノ\
/ \_/\\ ┗━━┛/ \\
/ \ ト ───イ/ ヽヽ
/ ` ─┬─ イ i i
/ | Y | |
/ | ヽ__|_|
巛彡彡ミミミミミ彡彡
巛巛巛巛巛巛巛彡彡
r、r.r 、|::::: |
r |_,|_,|_,||:::::: /' '\ |
|_,|_,|_,|/⌒ (・ ) (・ )|
|_,|_,|_人そ(^i ⌒ ) ・・)'⌒ヽ
| ) ヽノ |. ┏━━━┓|
| `".`´ ノ ┃ ノ ̄i ┃|
人 入_ノ´ ┃ヽニニノ┃ノ\ ・・・・で?ロリポップがサービス悪いとでもいいたいの?
/ \_/\\ ┗━━┛/|\\
/ \ ト ───イ/ ヽヽ
/ ` ─┬─ イ i i
/ | Y |
巛彡彡ミミミミミ彡彡
巛巛巛巛巛巛巛彡彡
r、r.r 、|::::: |
r |_,|_,|_,||:::::: ⌒ ⌒|
|_,|_,|_,|/⌒ -="- (-="
|_,|_,|_人そ(^i '"" ) ・ ・)""ヽ
| ) ヽノ |. ┃`ー-ニ-イ`┃ そうでっか、そうでっか、なるほどね
| `".`´ ノ ┃ ⌒ ┃|
人 入_ノ´ ┃ ┃ノ\
/ \_/\\ ┗━━┛/ \\
/ \ ト ───イ/ ヽヽ
/ ` ─┬─ イ i i
/ | Y | |
/ | ヽ__|_|
巛彡彡ミミミミミ彡彡
巛巛巛巛巛巛巛彡彡
r、r.r 、|::::: |
r |_,|_,|_,||:::::: /' '\ |
|_,|_,|_,|/⌒ (・ ) (・ )|
|_,|_,|_人そ(^i ⌒ ) ・・)'⌒ヽ
| ) ヽノ |. ┏━━━┓|
| `".`´ ノ ┃ ノ ̄i ┃|
人 入_ノ´ ┃ヽニニノ┃ノ\ ・・・・で?ロリポップがサービス悪いとでもいいたいの?
/ \_/\\ ┗━━┛/|\\
/ \ ト ───イ/ ヽヽ
/ ` ─┬─ イ i i
/ | Y |
41 :DNS未登録さん:04/02/03 04:37 ID:iFvVIIIV
42 :DNS未登録さん:04/02/06 02:41 ID:axiZN64u
質問age
www.hoge.comという形でSSLを使いたいんですが、
申し込みをしようとしているCAではサブドメインについては別登録ということになっていました。
(mail.hoge.comとdb.hoge.comでは二件買いなさいってことだと思います)
wwwはサブドメインとして考えて「www.hoge.com」で登録すればいいんでしょうか?
それともwwwはサブドメインではなく「hoge.com」でしょうか?
エロい人教えてください。
www.hoge.comという形でSSLを使いたいんですが、
申し込みをしようとしているCAではサブドメインについては別登録ということになっていました。
(mail.hoge.comとdb.hoge.comでは二件買いなさいってことだと思います)
wwwはサブドメインとして考えて「www.hoge.com」で登録すればいいんでしょうか?
それともwwwはサブドメインではなく「hoge.com」でしょうか?
エロい人教えてください。
43 :DNS未登録さん:04/02/06 03:51 ID:Jl+oApmv
>206
www.hoge.comとしてweb公開していたり、通常のアクセスをかんがえているなら、
www.hoge.comで取る。
ちなみに、負荷分散しているとき(webが複数台)もその台数分必要といわれた
<SSL販売会社に
hoge.comへhttpsでアクセスすると、警告画面でるよ。
前さがしていたときは、海外で、xxx.hoge.com(xxxはなんでも)とド
メイン単位の割安販売しているところもあった。
漏れは、それでも、1つ分よりは高いから、wwwだけでとったけど。
www.hoge.comとしてweb公開していたり、通常のアクセスをかんがえているなら、
www.hoge.comで取る。
ちなみに、負荷分散しているとき(webが複数台)もその台数分必要といわれた
<SSL販売会社に
hoge.comへhttpsでアクセスすると、警告画面でるよ。
前さがしていたときは、海外で、xxx.hoge.com(xxxはなんでも)とド
メイン単位の割安販売しているところもあった。
漏れは、それでも、1つ分よりは高いから、wwwだけでとったけど。
45 :DNS未登録さん:04/02/06 11:35 ID:CQiTSgsy
>>44
そういう言い方は変だな
そういう言い方は変だな
↑
ああ、なんか直リンになってしまった。
スマソ
ああ、なんか直リンになってしまった。
スマソ
>>46
それはできる。
それはできる。
49 :DNS未登録さん:04/02/07 00:55 ID:uvTefnfs
やはりwww.hoge.comにしないと意味がないようですね。
教えてくれてありがとうございます。
ttps://www.hoge.comを想定していたので>>46さんのとは違う状況でしたが
ということでテスト発行してもらってから、申し込みをしてみようかと。
教えてくれてありがとうございます。
ttps://www.hoge.comを想定していたので>>46さんのとは違う状況でしたが
ということでテスト発行してもらってから、申し込みをしてみようかと。
ワイルドカード証明書 *.hoge.com を発行する会社は以前あったが、
いまはしらん。
いまはしらん。
51 :めこ:04/03/03 05:14 ID:A5dBA4XZ
52 :DNS未登録さん:04/03/13 01:45 ID:tUTgnHWW
総警が値上げしたから、とりあえず安いとこ探したの。
トリトンってとこにしたよ、前レスでもあるやつ。
法人で申し込んだけど、サクッと設置完了。
悪くないよ。
トリトンってとこにしたよ、前レスでもあるやつ。
法人で申し込んだけど、サクッと設置完了。
悪くないよ。
53 :DNS未登録さん:04/04/03 07:06 ID:vD9yk5t8
54 :DNS未登録さん:04/04/03 20:22 ID:wG1/7ZFJ
(::::::::::::::) (:::::::::::::) ……スレ違い
)::::::::( ):::::::(
/::::::::::::;\ /::::::::::::; \
// |:::::::::::: l | //´|:::::::::::: l |
| | .|:::::::::::: | | | | |:::::::::::: | |
| | /::::::::::::/| | // /::::::::::::/| |
U |::::::::::/ U U |::::::::::/ | |
|::::||:::| | | | | |::::||:::| U
|::::||::| | ∧∧// |::::||::|
| / | | ( ゜д゜ )/ | /.| |
// | | | / // | |
// | | | /| | // | |
// | | // | | // | |
U U U U U U
)::::::::( ):::::::(
/::::::::::::;\ /::::::::::::; \
// |:::::::::::: l | //´|:::::::::::: l |
| | .|:::::::::::: | | | | |:::::::::::: | |
| | /::::::::::::/| | // /::::::::::::/| |
U |::::::::::/ U U |::::::::::/ | |
|::::||:::| | | | | |::::||:::| U
|::::||::| | ∧∧// |::::||::|
| / | | ( ゜д゜ )/ | /.| |
// | | | / // | |
// | | | /| | // | |
// | | // | | // | |
U U U U U U
55 : :04/06/15 10:46 ID:+5y72fx9
保守
最近au 5501Tが故障したので、修理に出したら5401Tが代替機できました。
そこで>38のURLにアクセスしようとしたら、証明書エラーですた....
まぁ買ってないからいいんだけどさ。
そこで>38のURLにアクセスしようとしたら、証明書エラーですた....
まぁ買ってないからいいんだけどさ。
57 :DNS未登録さん:04/08/05 12:56 ID:5SjchHnN
質問です
SSLを導入すると認証局とやらに
多額の金を払いますよね?
そのような事をせずに、SSLを導入することは可能でしょうか?
それが「自前認証局」という奴でしょうか?
この「自前認証局」にすれば、無料でSSLに対応できるのでしょうか?
どうぞ、お教えくださいませ。
SSLを導入すると認証局とやらに
多額の金を払いますよね?
そのような事をせずに、SSLを導入することは可能でしょうか?
それが「自前認証局」という奴でしょうか?
この「自前認証局」にすれば、無料でSSLに対応できるのでしょうか?
どうぞ、お教えくださいませ。
他人から見た「信頼」が特に必要ないのであれば(SSLで暗号化だけできればいいのであれば)
導入に認証局は不要。
導入に認証局は不要。
>>57
証明機関でもインストールすれば?
証明機関でもインストールすれば?
年41ドルも払えない奴がSSL入れようとするなよ。
お前が取り扱おうとしている情報はそれよりも遥かに高い。
お前が取り扱おうとしている情報はそれよりも遥かに高い。
メールアドレス1件につき1円〜2円
100件100〜200円で、およそ$1.5
41/1.5=27
27*100=2700
∴取り扱うメールアドレスが2700件以下の場合は、SSLを入れる方が高い。
100件100〜200円で、およそ$1.5
41/1.5=27
27*100=2700
∴取り扱うメールアドレスが2700件以下の場合は、SSLを入れる方が高い。
>61
一体これは何の計算なんでせう?
一体これは何の計算なんでせう?
>57
httpsサーバ立ち上げられれば、わかるかもしれないから、
とりあえず自分でサーバ立ち上げて見ろよ。
httpsサーバ立ち上げられれば、わかるかもしれないから、
とりあえず自分でサーバ立ち上げて見ろよ。
ハゲを禿しく励ます。
66 :DNS未登録さん:04/08/06 00:27 ID:YI/llkFw
>>66
てめ〜で考えやがれ!
てめ〜で考えやがれ!
68 :DNS未登録さん:04/09/05 22:47 ID:ORWpSuHM
>>38
37じゃないけど、買ってみた。印鑑証明に実印がいるとは驚き。
発行要求を送った後に自宅サーバの秘密鍵を消してしまった、というチョンボを
やったけど、無料で再発行してもらえた。
携帯(AU A5406CA)からもちゃんとアクセスできる。
ただし、証明書を表示させると、自宅住所がばっちり表示される。
ここは印鑑証明いるから嘘を書けないんだよね・・・。
あ、あと、エロサイトには使えません、だってさ。
エロサイトにする気もないけど。
37じゃないけど、買ってみた。印鑑証明に実印がいるとは驚き。
発行要求を送った後に自宅サーバの秘密鍵を消してしまった、というチョンボを
やったけど、無料で再発行してもらえた。
携帯(AU A5406CA)からもちゃんとアクセスできる。
ただし、証明書を表示させると、自宅住所がばっちり表示される。
ここは印鑑証明いるから嘘を書けないんだよね・・・。
あ、あと、エロサイトには使えません、だってさ。
エロサイトにする気もないけど。
>68
まぁ証明書は本来何処の誰かをはっきりさせる為に使う物だからね。
印鑑証明ぐらい要求されるのはやむを得ないと思う。
しかし金を扱わない自宅サーバ程度で、住所を隠せないってのはなぁ。
ドメインみたいに証明書発行業者の住所で登録できるようにしてくれれば
いいのに。補償無しでいいからさ。
まぁ証明書は本来何処の誰かをはっきりさせる為に使う物だからね。
印鑑証明ぐらい要求されるのはやむを得ないと思う。
しかし金を扱わない自宅サーバ程度で、住所を隠せないってのはなぁ。
ドメインみたいに証明書発行業者の住所で登録できるようにしてくれれば
いいのに。補償無しでいいからさ。
>>69
ドメインと違ってPKI (Public Key Infrastructure)は階層構造的に認証を構築する
から、発行業者名義(匿名)というわけにはいかないんだ。
AはBを信頼し、BはCを信頼するというモデルだから、Cが匿名だったりすると
Bの信頼性が崩れてしまい、それに伴って共倒れでAも信頼できなくなってしまう。
セキュリティホールと同じで漏れが一つでもあるとダメというのと同じだな。
さらに日本では電子署名を公的認証として利用できるようにする法律
「電子署名および認証業務に関する法律(通称・電子署名法)」があって
法的に有効性が明示されているので、匿名で鍵を発行してしまうとそれが犯罪
行為に利用されてしまったとき、鍵を発行した業者は犯罪の共犯者に
なってしまう(直接の判例はないが私的機関が発行した匿名の証明書で
共犯が成立した事例はある)というのもある。
ドメインと違ってPKI (Public Key Infrastructure)は階層構造的に認証を構築する
から、発行業者名義(匿名)というわけにはいかないんだ。
AはBを信頼し、BはCを信頼するというモデルだから、Cが匿名だったりすると
Bの信頼性が崩れてしまい、それに伴って共倒れでAも信頼できなくなってしまう。
セキュリティホールと同じで漏れが一つでもあるとダメというのと同じだな。
さらに日本では電子署名を公的認証として利用できるようにする法律
「電子署名および認証業務に関する法律(通称・電子署名法)」があって
法的に有効性が明示されているので、匿名で鍵を発行してしまうとそれが犯罪
行為に利用されてしまったとき、鍵を発行した業者は犯罪の共犯者に
なってしまう(直接の判例はないが私的機関が発行した匿名の証明書で
共犯が成立した事例はある)というのもある。
71 :DNS未登録さん:04/09/08 16:21 ID:djsRaT5t
携帯に対応していて
アダルトにも対応していて
安い認証局といったら、ズバリどこでしょうか?
アダルトにも対応していて
安い認証局といったら、ズバリどこでしょうか?
72 :DNS未登録さん:04/09/08 17:41 ID:cplWzskf
でもざっと通販サイト目を通した限り、ベリしか認証局見た事無いけど。。。
特に携帯のブラウザからの拒否を考えればそうなってしまうのか?
特に携帯のブラウザからの拒否を考えればそうなってしまうのか?
73 :DNS未登録さん:04/09/22 11:29:45 ID:lNOT28it
WindowsとLinuxってキーペアファイルに互換性あります?
乗り換えようかと思っているんですが・・・
乗り換えようかと思っているんですが・・・
74 :DNS未登録さん:04/09/22 11:50:49 ID:R+jk70yV
>>73
どういう形式でキーペアを受け取っているのかわからんが、apache+SSLなら
大抵の鍵形式を受け入れてくれるし、もしダメでもopensslを使って変換
することもできる。心配しなくてよし。
どういう形式でキーペアを受け取っているのかわからんが、apache+SSLなら
大抵の鍵形式を受け入れてくれるし、もしダメでもopensslを使って変換
することもできる。心配しなくてよし。
>74
ありがとうございます!安心しました〜
さっそく挑戦してみます!
ありがとうございます!安心しました〜
さっそく挑戦してみます!
StarterSSLを使うと印鑑証明は要らないでFA?
自宅鯖&厨房にはキツすぎますよ。印鑑証明。
自宅鯖&厨房にはキツすぎますよ。印鑑証明。
>>76
自己署名にすれば?
自己署名にすれば?
今、自己認証局&サーバー署名でやってるんですが
やっぱり警告ダイヤログがウザくて...。
一応CA証明書をWebにも貼り付けているんですが
これをインストールしてからアクセスしてくれる人が
あんまりいないw
いまキャンペーンで$19/年らしいので、ちょっと
検討してみようかと。
やっぱり警告ダイヤログがウザくて...。
一応CA証明書をWebにも貼り付けているんですが
これをインストールしてからアクセスしてくれる人が
あんまりいないw
いまキャンペーンで$19/年らしいので、ちょっと
検討してみようかと。
>>78
http://www.onlinessl.jp/content/chained_qa.html
StarterSSL / ChainedSSL Wildcardで採用されているオンライン本人確認システムとはどのようなものなのでしょうか?
FreeSSL.comのオンライン本人確認システムは、SSL申請者とドメイン管理者、もしくはSSL申請者とサーバ管理者が同一人物、もしくは同一組織であることを確認します。
申込時に予め指定したメールアカウント、もしくはWHOISに登録されているメールアドレスへ本人確認メールを送信し、メールに添付されてあるURLをクリック、リンクがなされているウェブ上でSSL申請したことを認めるボタンをクリックすれば、本人確認は完了となります。
---
となってるから、要らないんじゃないかな。
でも、これって全世界のCAに対する信頼失墜行為だよなあ。
ルート証明書経由でも信頼できないサイトが存在し得ることになってしまう。
http://www.onlinessl.jp/content/chained_qa.html
StarterSSL / ChainedSSL Wildcardで採用されているオンライン本人確認システムとはどのようなものなのでしょうか?
FreeSSL.comのオンライン本人確認システムは、SSL申請者とドメイン管理者、もしくはSSL申請者とサーバ管理者が同一人物、もしくは同一組織であることを確認します。
申込時に予め指定したメールアカウント、もしくはWHOISに登録されているメールアドレスへ本人確認メールを送信し、メールに添付されてあるURLをクリック、リンクがなされているウェブ上でSSL申請したことを認めるボタンをクリックすれば、本人確認は完了となります。
---
となってるから、要らないんじゃないかな。
でも、これって全世界のCAに対する信頼失墜行為だよなあ。
ルート証明書経由でも信頼できないサイトが存在し得ることになってしまう。
>80
まぁまぁ、79はPKIに理想を求める香具師なんだろ。
個人サーバ用には79の理想は制約がきつすぎるんだよなぁ。
ぶっちゃけ、auの携帯が自己署名を受け入れてくれれば、
別に証明書なんて買う必要まったくなしなんだな。
まぁまぁ、79はPKIに理想を求める香具師なんだろ。
個人サーバ用には79の理想は制約がきつすぎるんだよなぁ。
ぶっちゃけ、auの携帯が自己署名を受け入れてくれれば、
別に証明書なんて買う必要まったくなしなんだな。
>>80
「SSL」(なり、TLSなり)は、確かに暗号化だけを担う技術だが、残念ながらHTTPSプロトコルには
サーバ認証という機能も含まれてしまっているんだよ。RFC2246とか、この辺↓とか参照のこと。
http://www.nic.ad.jp/ja/newsletter/No23/080.html
>>81の言っている「PKI」ってのはこれな。
>>81
そうだねえ。
そもそも、「暗号化」と「証明」をいっしょのプロトコルにしているのが間違ってると思うよ。
最初にNetscapeが「鍵マーク」のみじゃなくて、「暗号化マーク」と「認証マーク」の両方が表示されていれば
安全と呼べる、みたいな仕様にしておけばよかったんじゃないかと。
んで暗号化だけとかサーバ認証の片方だけ必要な人は片方だけ利用する、というかんじで。
「SSL」(なり、TLSなり)は、確かに暗号化だけを担う技術だが、残念ながらHTTPSプロトコルには
サーバ認証という機能も含まれてしまっているんだよ。RFC2246とか、この辺↓とか参照のこと。
http://www.nic.ad.jp/ja/newsletter/No23/080.html
>>81の言っている「PKI」ってのはこれな。
>>81
そうだねえ。
そもそも、「暗号化」と「証明」をいっしょのプロトコルにしているのが間違ってると思うよ。
最初にNetscapeが「鍵マーク」のみじゃなくて、「暗号化マーク」と「認証マーク」の両方が表示されていれば
安全と呼べる、みたいな仕様にしておけばよかったんじゃないかと。
んで暗号化だけとかサーバ認証の片方だけ必要な人は片方だけ利用する、というかんじで。
83 :DNS未登録さん:04/11/02 22:32:43 ID:vPyjfk5t
age
84 :DNS未登録さん:04/11/15 21:47:39 ID:ewk1LACb
GeoTrustおよびその子会社のFreeSSL.comって、
代理店とかリセラーとか日本にうじゃうじゃあるみたいなんですけど、
しかも一部を除いてサイトの案内が直訳文章だったりして怪しいんですけど、
どういう位置関係なんでしょう?
GMOのグループ会社の「日本ジオトラスト」だけはまともっぽいんですが、
しかし日本の総代理店ということでもないみたいだし、
安価なFreeSSL.comのサービスについては現状では扱っていません。
FreeSSL.comのしっかりした代理店を望みたいところなんですが。
代理店とかリセラーとか日本にうじゃうじゃあるみたいなんですけど、
しかも一部を除いてサイトの案内が直訳文章だったりして怪しいんですけど、
どういう位置関係なんでしょう?
GMOのグループ会社の「日本ジオトラスト」だけはまともっぽいんですが、
しかし日本の総代理店ということでもないみたいだし、
安価なFreeSSL.comのサービスについては現状では扱っていません。
FreeSSL.comのしっかりした代理店を望みたいところなんですが。
86 :DNS未登録さん:04/11/16 01:59:55 ID:f23MjBry
いやですよ、おふだに大金払うなんて。
本来暗号化だけで十分なんで。
本来暗号化だけで十分なんで。
87 :DNS未登録さん:04/11/16 07:55:56 ID:vJ78gK5n
暗号化だけでいいなら自己発行してろウ"ォケ
>87
auの携帯さえなければそれで十分なんだが。
馬鹿な仕様変えろよ>KDDI
auの携帯さえなければそれで十分なんだが。
馬鹿な仕様変えろよ>KDDI
89 :DNS未登録さん:04/11/22 21:04:18 ID:+RSSDQu5
IEにデフォルトで入っているルートCAもしくは中間CAの中で、
サーバ証明書を無料で発行してくれる所はありますか?
サーバ証明書を無料で発行してくれる所はありますか?
90 :DNS未登録さん:04/11/22 21:30:00 ID:sVJHEs4c
ない βακα..._φ(゚∀゚ )アヒャ
俺、オンラインショップでベリサインの証明書使ってるが、高いね。
個人でベリサインは珍しいかな。
個人でベリサインは珍しいかな。
92 :DNS未登録さん:04/11/22 22:08:15 ID:+RSSDQu5
やはり無料の所は無いですか。
そうですね。高いですね。
キャンペーン中で無料のはあるみたいですけどね。
確か1ヶ月でしたかね。
せめて半年ぐらいあるといいんですが。
そうですね。高いですね。
キャンペーン中で無料のはあるみたいですけどね。
確か1ヶ月でしたかね。
せめて半年ぐらいあるといいんですが。
証 明 書 ご と き に 金 も 出 せ な い
貧 乏 人 が サ ー バ あ げ て
な に を や ら か す つ も り で す か ?
貧 乏 人 が サ ー バ あ げ て
な に を や ら か す つ も り で す か ?
つりですが?
暗号化されるだけでいいから
自己発行してるのに
それだと警告メッセージがでてしまう
httpとhttpsって
帯に短し襷に長しってやつでしょうか?
自己発行してるのに
それだと警告メッセージがでてしまう
httpとhttpsって
帯に短し襷に長しってやつでしょうか?
暗号化が必要なぐらいセンシティブな情報なら、当然に身元の確認も必要だろうという有難き配慮。
ある種の細工で、DNS応答には嘘の情報を混ぜることができる。
amazon.co.jpのつもりで繋いだ相手が本物そっくり(てかproxy)の巧妙な偽ホストならば、
入力したクレジットカード番号は盗み見されるだろう。
amazon.co.jpのつもりで繋いだ相手が本物そっくり(てかproxy)の巧妙な偽ホストならば、
入力したクレジットカード番号は盗み見されるだろう。
本当に危ない場合はクライアントSSL発行するだろ?
サーバ側キーのみで「誰でもカモン!」なんて危なさ過ぎ。
サーバ側キーのみで「誰でもカモン!」なんて危なさ過ぎ。
>>98
なるほどー
ありがとうございました
その場合、偽サーバでも独自証明書なら
コモンネームamacon.co.jpで作れてしまうから
クライアントは本物か分からない。
べリサインなどが証明したものなら
偽装はできないから安心
っていうことですよね。
なるほどー
ありがとうございました
その場合、偽サーバでも独自証明書なら
コモンネームamacon.co.jpで作れてしまうから
クライアントは本物か分からない。
べリサインなどが証明したものなら
偽装はできないから安心
っていうことですよね。
「おれは信頼できるぞ」と自称するものほど信じられないものはない。
誰か第三者が信頼性を保証してやる必要がある。
それをやってるだけなのになんで利権なんて言葉が出てくる?
誰か第三者が信頼性を保証してやる必要がある。
それをやってるだけなのになんで利権なんて言葉が出てくる?
みんな!俺を信じてくれ!!
105 :DNS未登録さん:04/11/26 00:41:33 ID:l0mrnFKZ
手軽に出来ないからこそ価値があるんじゃないのか?
http -> https
だと一気にハードルが上がりすぎなんだよな
相手は証明しないけど、暗号化はする
ってのが欲しいな
だと一気にハードルが上がりすぎなんだよな
相手は証明しないけど、暗号化はする
ってのが欲しいな
だから。それが独自認証局だと
何度言えばわか(ry
何度言えばわか(ry
108 :DNS未登録さん:04/11/26 08:04:32 ID:aDbWHMWH
とんでもないアフォがいるスレはここでつか?
こんなところでゴネてないで働いて10万位払えばいいやんか。
111 :DNS未登録さん:04/11/26 10:28:43 ID:F/7X1b6H
暗号化と認証の分け方が中途半端だったのが問題なわけ。
認証が必要なのに独自認証局では問題だけど、
暗号化だけ必要なのに
「こいつは信用できないかもしれませんよ」
なんて関係のないことを言うなっての。
「このサイトとの通信は暗号化されています」
「このサイト(の運営主体)は○○によって認証されています」
の2通りがそれぞれ別個にきちんと実現できればいいわけ。
盗聴が難しいデジタル方式のコードレス電話を使ってたって、
オレオレ詐欺の電話はかかってくるし、
普通の相手でも言ってることが正しいかどうかは別問題じゃん。
認証が必要なのに独自認証局では問題だけど、
暗号化だけ必要なのに
「こいつは信用できないかもしれませんよ」
なんて関係のないことを言うなっての。
「このサイトとの通信は暗号化されています」
「このサイト(の運営主体)は○○によって認証されています」
の2通りがそれぞれ別個にきちんと実現できればいいわけ。
盗聴が難しいデジタル方式のコードレス電話を使ってたって、
オレオレ詐欺の電話はかかってくるし、
普通の相手でも言ってることが正しいかどうかは別問題じゃん。
なんか無知が跋扈してるなぁ。
暗号が暗号として機能するためには、
通信相手の暗号鍵を正しく検証できなければならない。
>暗号化と認証の分け方が中途半端だったのが問題なわけ。
分けて考えるのは暗号を知らないアホだけ。
暗号が暗号として機能するためには、
通信相手の暗号鍵を正しく検証できなければならない。
>暗号化と認証の分け方が中途半端だったのが問題なわけ。
分けて考えるのは暗号を知らないアホだけ。
うほっ
それはドメインの登録管理業務に含めばよかないか?
実際GeoTrustのQuickSSLとかStartarSSLなどのタイプは
ドメインの登録管理業務に含められるでしょう。
そうすればそのコストはもっと低くなるはず。
まぁStartarSSLはそこそこ安いっちゃぁ安いけど。
実際GeoTrustのQuickSSLとかStartarSSLなどのタイプは
ドメインの登録管理業務に含められるでしょう。
そうすればそのコストはもっと低くなるはず。
まぁStartarSSLはそこそこ安いっちゃぁ安いけど。
>101
少なくともNetscapeは証明書で儲けてない。
証明書で不労所得を一番得ているのは Verisign。
まぁRSA作った連中だから、文句も言えないが。
少なくともNetscapeは証明書で儲けてない。
証明書で不労所得を一番得ているのは Verisign。
まぁRSA作った連中だから、文句も言えないが。
>>112
暗号鍵が検証できなければ
利用できないだけじゃないの?
今は普通に利用するフォームの情報が
簡単に盗聴できることが問題だと思う。
それが暗号化されるだけでも
だいぶ違うと思うんだけどなー
112はベリサインの人か同様のサービスをやってる人?
暗号鍵が検証できなければ
利用できないだけじゃないの?
今は普通に利用するフォームの情報が
簡単に盗聴できることが問題だと思う。
それが暗号化されるだけでも
だいぶ違うと思うんだけどなー
112はベリサインの人か同様のサービスをやってる人?
>>116
少なくとも現状よりセキュリティレベルを下げることになるのでだめだろうな。
今は「わざわざ証明書の正否を確認するなんていうめんどくさいことはしない人」も
証明書と鍵がセットの仕様によって救われているが、暗号化はされているけどサーバ証明はされていない
詐欺サイトに上記のような人が引っかかった時、「確認しなかったやつが悪い」に変わってしまうので非常に問題だ。
少なくとも現状よりセキュリティレベルを下げることになるのでだめだろうな。
今は「わざわざ証明書の正否を確認するなんていうめんどくさいことはしない人」も
証明書と鍵がセットの仕様によって救われているが、暗号化はされているけどサーバ証明はされていない
詐欺サイトに上記のような人が引っかかった時、「確認しなかったやつが悪い」に変わってしまうので非常に問題だ。
118 :DNS未登録さん:04/11/26 18:31:22 ID:aDbWHMWH
とことん自分の事しか考えられない奴だな。
フォーム利用者にとっては、通信が暗号化されていても
通信相手が真正か証明できなければ何の意味もない。
フォーム利用者にとっては、通信が暗号化されていても
通信相手が真正か証明できなければ何の意味もない。
暗号化されていようが証明書があろうが信用できないサイトはいっぱいあるし、
法人登記されている会社でも悪事を働いてるのはいっぱいいる。
証明書をもって詐欺ではないことなど証明はできん。
暗号化は盗聴や途中での漏洩を防ぐための手段であって、
それ以上でもそれ以下でもない。
法人登記されている会社でも悪事を働いてるのはいっぱいいる。
証明書をもって詐欺ではないことなど証明はできん。
暗号化は盗聴や途中での漏洩を防ぐための手段であって、
それ以上でもそれ以下でもない。
暗号の信頼性と社会的信用をごっちゃにする>>120みたいなバカがいるから
くだらない内容でこのスレがループするんだ。
くだらない内容でこのスレがループするんだ。
自分が自分のために使って他から触られたくない程度なら自発行SSLで充分。
他人を信用“させたい”のなら金払え。
でFA?
他人を信用“させたい”のなら金払え。
でFA?
>>122
いや、手軽に暗号化できるべき
いや、手軽に暗号化できるべき
登記簿謄本があったら暗号化の何を信用させられるの?
登記簿謄本がなかったら暗号化の何が信用させられないの?
登記簿謄本がなかったら暗号化の何が信用させられないの?
スレ的にはこういう議論は合っていると思う。
心行くまで議論なさって下さいと思う。
心行くまで議論なさって下さいと思う。
>>125
会話がループしてるので、議論になってないです
会話がループしてるので、議論になってないです
心行くまでループなさって下さいと思う。
>いや、手軽に暗号化できるべき
自己証明で手軽でないというのならばやめるべきかと。
まず何よりも SSL とか PKI とかをせめて概念だけでも正確に理解すべし。
自己証明で手軽でないというのならばやめるべきかと。
まず何よりも SSL とか PKI とかをせめて概念だけでも正確に理解すべし。
>んで、SSLとPKIの概念がわかるとどうなるって言いたいんだ?
たいへんすばらしい捨て台詞をいただきましたので一方的に終了させていただきます。
議論になってないのは承知してたけど、もう少しは話が通じるかと思ってたよ。
たいへんすばらしい捨て台詞をいただきましたので一方的に終了させていただきます。
議論になってないのは承知してたけど、もう少しは話が通じるかと思ってたよ。
129は本屋でPKI関係の本を立ち読みしてみれ。
こんな数行で納得させるのは不可能だ。
例えば、独自CAの暗号化で、UAがダイヤログを
「出さない」ことがどんなに危険かわかる。
公開鍵基盤における階層構造がわからないと
通信路暗号化をしても、結局何も守られない
こともわかる。
こんな数行で納得させるのは不可能だ。
例えば、独自CAの暗号化で、UAがダイヤログを
「出さない」ことがどんなに危険かわかる。
公開鍵基盤における階層構造がわからないと
通信路暗号化をしても、結局何も守られない
こともわかる。
いろんな次元が混じってるのをなんとかしようよ。
「お手軽(安価)に暗号化したい」というのが目的であって、
その他はみんな手段でしょ。
暗号化するにはCAを使う方式しかない(なかった)のか、
ドメインの仕組みに組み込めば安価にできたのではないか、
極めて安価なSSL証明書のサービスはどこか、
それぞれの理解度も違うでしょ。
全部きちんと理解できている人がいらっしゃるみたいだけど、
それならこれらをきちんと分けて話してよ。
「お手軽(安価)に暗号化したい」というのが目的であって、
その他はみんな手段でしょ。
暗号化するにはCAを使う方式しかない(なかった)のか、
ドメインの仕組みに組み込めば安価にできたのではないか、
極めて安価なSSL証明書のサービスはどこか、
それぞれの理解度も違うでしょ。
全部きちんと理解できている人がいらっしゃるみたいだけど、
それならこれらをきちんと分けて話してよ。
>>132
>例えば、独自CAの暗号化で、UAがダイヤログを
>「出さない」ことがどんなに危険かわかる。
というのは、現在のSSLが”暗号化”+”相手先の認証”という二つのプロセスが入ってるからだろ
でもそうでなくて、"暗号化"だけのが欲しいって話じゃないのか?
ここでぐだぐだ言ってても解決しないけど
>例えば、独自CAの暗号化で、UAがダイヤログを
>「出さない」ことがどんなに危険かわかる。
というのは、現在のSSLが”暗号化”+”相手先の認証”という二つのプロセスが入ってるからだろ
でもそうでなくて、"暗号化"だけのが欲しいって話じゃないのか?
ここでぐだぐだ言ってても解決しないけど
だから、相手先を認証しない暗号は無意味なの。
それが暗号の基本なの。
それが暗号の基本なの。
sshやscpはどう理解すればいいの?
つまりsshやscpは一般的には自己証明を使ってるってことになるの?
もしかしてSSL証明書を購入してインストールすることもできたりする?
現状のhttpsの仕組みに不満をもつ人の多くが思ってるのは、
sshやscpのようにお手軽にできないのか(できなかったのか)ということだと思うんだけど、
それは単に警告メッセージの発し方が大袈裟に見えるか見えないかが
違うだけってことなの?
もしかしてSSL証明書を購入してインストールすることもできたりする?
現状のhttpsの仕組みに不満をもつ人の多くが思ってるのは、
sshやscpのようにお手軽にできないのか(できなかったのか)ということだと思うんだけど、
それは単に警告メッセージの発し方が大袈裟に見えるか見えないかが
違うだけってことなの?
だからさー、それは自己証明ってことなんじゃないの?違うの?
ssh でも初回接続時にはホスト鍵のフィンガープリントが表示される。
このフィンガープリントが正しいものなのかどうかは、電話のような
他の手段を使って管理者に問い合わせれば真正なものか確認できる。
だが、HTTPS のような不特定多数から使われるものでは、煩雑になるので
そんな確認はしてられない。よって、信頼ある CA の鍵を事前に入手しておき、
その CA から認証された鍵は安全とみなす、という方法を取る。
# ssh も規格上は CA によって認証された鍵も使うことができるらしい。
ssh がお手軽というが、ホスト鍵の確認をしっかりやろうとすれば
それなりに面倒。逆に自己署名 SSL でも、CA の証明書をクライアントに
インストールしておけば、その CA で認証されたところへの接続は
めんどうな確認を自動化できる。
このフィンガープリントが正しいものなのかどうかは、電話のような
他の手段を使って管理者に問い合わせれば真正なものか確認できる。
だが、HTTPS のような不特定多数から使われるものでは、煩雑になるので
そんな確認はしてられない。よって、信頼ある CA の鍵を事前に入手しておき、
その CA から認証された鍵は安全とみなす、という方法を取る。
# ssh も規格上は CA によって認証された鍵も使うことができるらしい。
ssh がお手軽というが、ホスト鍵の確認をしっかりやろうとすれば
それなりに面倒。逆に自己署名 SSL でも、CA の証明書をクライアントに
インストールしておけば、その CA で認証されたところへの接続は
めんどうな確認を自動化できる。
リアルで周りに嫌われてる厨房が必死なようです(嘲笑
週末の昼下がりから2chか……
みんな友達いないんだなwww
俺たち、友達になれそうだなw
みんな友達いないんだなwww
俺たち、友達になれそうだなw
キモッ
自演乙
>>141
信頼できないCAだって場合はどうなるのだろう?
信頼できないCAだって場合はどうなるのだろう?
自演乙
池沼が本すら読まずに憶測だけで騒ぐスレは
ここですか?
ここですか?
"ちゃんばば" のかほりがする。
"本7"のかほりはしない。
なるほど。ってことはその通信している相手(サイト)が信用できることがわかっている(確かめられた)なら、
自己証明であっても「暗号化」は完全なんですね。
また、114にあるような、ドメインの登録管理業務に含めるかたちで
ワイルドカードSSLがドメインの基本機能に含まれて運用されていたなら、
(別途個別のSSLも現在のように申し込めるように)
安価かつお手軽に利用できる可能性もあったわけですね。
これはちょっと残念な気がしますね。
自己証明であっても「暗号化」は完全なんですね。
また、114にあるような、ドメインの登録管理業務に含めるかたちで
ワイルドカードSSLがドメインの基本機能に含まれて運用されていたなら、
(別途個別のSSLも現在のように申し込めるように)
安価かつお手軽に利用できる可能性もあったわけですね。
これはちょっと残念な気がしますね。
>「暗号化」は完全なんですね。
完全は無い。
基準に達している、というくらいのもの。
完全は無い。
基準に達している、というくらいのもの。
完全なものなど....
自己証明でないものと比べて、って話でしょ。
>>151
つまり君は「警告ダイアログが出る状態は『利用できる』という状態とみなさない」ということか?
# あうの携帯で使えない、とかいうのは携帯側の問題であってSSLの仕様の不備ではない
今でも、ルート証明書がIEなりもじらなりに入っていないサーバ鍵を安価で、あるいは無料で
発行してくれるサービスは存在するぜ?(>>13みたいなのね。ここは今やってるかどうか知らないけど)
つまり君は「警告ダイアログが出る状態は『利用できる』という状態とみなさない」ということか?
# あうの携帯で使えない、とかいうのは携帯側の問題であってSSLの仕様の不備ではない
今でも、ルート証明書がIEなりもじらなりに入っていないサーバ鍵を安価で、あるいは無料で
発行してくれるサービスは存在するぜ?(>>13みたいなのね。ここは今やってるかどうか知らないけど)
意義すらわからない房が暴れてるだけだろ。
157 :リアル3歳児 ◆Real32qXyg :04/12/01 23:01:47 ID:???
1ですが、このスレまだあったんですね。
OnlineSSLでのStarterSSLのプロモーション価格が値上がりしてますね。
久しぶりにこのスレ来たら盛り上がってるなと思ったらこんなレベルの低い話題だとは。
でもある意味すげーな。同じ説明がこれだけループしてるのに
それでもわからない馬鹿がいるとは・・・・・・。
でもある意味すげーな。同じ説明がこれだけループしてるのに
それでもわからない馬鹿がいるとは・・・・・・。
>159
粘着馬鹿が一人いれば、何百回だってループはするわな。
ループの脱出条件がないんだから(藁
粘着馬鹿が一人いれば、何百回だってループはするわな。
ループの脱出条件がないんだから(藁
わかってないやつどうしが
レスしあってるからだろ
レスしあってるからだろ
素朴な疑問なのですが
CSRつくってベリサインなどに送って
送り返されたサーバIDをサーバにインストールしますが
これを他のサーバにもインストールすることってできるのでしょうか?
Webサーバを移転するときなど
有効期限が残ってれば
新しいサーバでも使えるのでしょうか?
CSRつくってベリサインなどに送って
送り返されたサーバIDをサーバにインストールしますが
これを他のサーバにもインストールすることってできるのでしょうか?
Webサーバを移転するときなど
有効期限が残ってれば
新しいサーバでも使えるのでしょうか?
>>162
身分証明書を他人が携帯してたら身分証明にならんだろ。
身分証明書を他人が携帯してたら身分証明にならんだろ。
あ、そ
165 :DNS未登録さん:04/12/05 21:11:10 ID:cEgTT3CP
素人便乗質問で申し訳ないのですが、
FQDN名が全く同じでも移転利用出来ないのでしょうか?
サーバ構成見ているわけでもなく、ましてやIPアドレスでもないですよね?
FQDN名が全く同じでも移転利用出来ないのでしょうか?
サーバ構成見ているわけでもなく、ましてやIPアドレスでもないですよね?
>165
それは他人が持っていたFQDN(domainごとか?)と証明書を譲り受ける事が
できるか?ってことかな?
FQDNやdomainは譲渡可能(一部不可:属性jpなど)だが、証明書は譲渡不
可能なはず。正確なところは契約書を確認してみたら。法人が取得した
証明書なら、法人ごと譲渡を受ければ可能かもしれんが。
#そもそも証明書が何を証明しているかを理解すれば、自明な事なんだが。
それは他人が持っていたFQDN(domainごとか?)と証明書を譲り受ける事が
できるか?ってことかな?
FQDNやdomainは譲渡可能(一部不可:属性jpなど)だが、証明書は譲渡不
可能なはず。正確なところは契約書を確認してみたら。法人が取得した
証明書なら、法人ごと譲渡を受ければ可能かもしれんが。
#そもそも証明書が何を証明しているかを理解すれば、自明な事なんだが。
>>167
> キーペアファイルの互換性のあるウェブサーバへの変更であること
という制限があるんですね。
調べてみます。
ということは証明書には
CSRを作成したサーバのキーとかはとくにかかれてなく
コモンネームとかの情報だけが書かれてるってことなんですね。
> キーペアファイルの互換性のあるウェブサーバへの変更であること
という制限があるんですね。
調べてみます。
ということは証明書には
CSRを作成したサーバのキーとかはとくにかかれてなく
コモンネームとかの情報だけが書かれてるってことなんですね。
>>168
> キー***ペア***ファイルの
> キー***ペア***ファイルの
>167
その可能性については気がつかなかったよ。Thanks.
その可能性については気がつかなかったよ。Thanks.
172 :DNS未登録さん:04/12/07 12:00:37 ID:mWZnkEYt
安い携帯用CA探してるヤシに朗報だが、au&tu-kaの場合は、
https://.../で繋ぐと、端末が持っているルート証明書のみ利用可能となるが、
proxys://...:443/で繋ぐと、文字コード調整用?のサーバを中継するので、
利用できるCAが増えたりする。
https://.../で繋ぐと、端末が持っているルート証明書のみ利用可能となるが、
proxys://...:443/で繋ぐと、文字コード調整用?のサーバを中継するので、
利用できるCAが増えたりする。
174 :DNS未登録さん:04/12/08 16:05:30 ID:UCbz2kFH
ジオトラストとかベリサインとか、
シールを動的に生成するやつがありますよね。
あれってどういう仕組みでそのサイトを認証してるんでしょうか?
(シールを置いているサイトのURLやドメイン情報の取得)
scriptタグで適当な環境変数を処理して
画像データを返す方法というのはわかるんです。
しかしRefererヘッダはセキュリティツールで遮蔽されることが多く、
他の何らかの方法を使っていると思うのですが。
同じような仕組みを実装したいのですが、方法が分からなくて。
シールを動的に生成するやつがありますよね。
あれってどういう仕組みでそのサイトを認証してるんでしょうか?
(シールを置いているサイトのURLやドメイン情報の取得)
scriptタグで適当な環境変数を処理して
画像データを返す方法というのはわかるんです。
しかしRefererヘッダはセキュリティツールで遮蔽されることが多く、
他の何らかの方法を使っていると思うのですが。
同じような仕組みを実装したいのですが、方法が分からなくて。
175 :DNS未登録さん:04/12/08 16:15:18 ID:UCbz2kFH
訂正です。
ベリサインはサイト名を値として渡しますので除外されますね。
ジオトラストの仕組みがなぞです。
ベリサインはサイト名を値として渡しますので除外されますね。
ジオトラストの仕組みがなぞです。
174です。
失礼しました。*.jsが覗けました。
仕組みもイメージしていたものとは少し違うものでした。
失礼しました。*.jsが覗けました。
仕組みもイメージしていたものとは少し違うものでした。
http://japan.cnet.com/news/ent/story/0,2000047623,20080006,00.htm
日本ジオトラスト、SSLサーバ証明書の即時発行サービスを開始
http://internet.watch.impress.co.jp/cda/news/2005/01/12/6028.html
日本ジオトラスト、SSLサーバー証明書の即時発行サービスを開始
本人確認の方法としては、
Whoisに記載されている当該ドメインのメールアドレスか、
ドメインの「admin」「webmaster」といったメールアドレスに確認のメールを送る。
これにより、証明書を申し込んだドメインの管理者であることの本人確認とする。
メールを受け取ったユーザーがメールに記載されているURLをクリックすることで本人確認は終了し、証明書が発行される。
日本ジオトラスト、SSLサーバ証明書の即時発行サービスを開始
http://internet.watch.impress.co.jp/cda/news/2005/01/12/6028.html
日本ジオトラスト、SSLサーバー証明書の即時発行サービスを開始
本人確認の方法としては、
Whoisに記載されている当該ドメインのメールアドレスか、
ドメインの「admin」「webmaster」といったメールアドレスに確認のメールを送る。
これにより、証明書を申し込んだドメインの管理者であることの本人確認とする。
メールを受け取ったユーザーがメールに記載されているURLをクリックすることで本人確認は終了し、証明書が発行される。
>177
まぁ悪くないかもしれないが、一番肝心なau携帯がサポートされて
おらん。それとも最近の機種には入っているのかな?手元の5501T
(1年ちょっと前の機種)には Equifax Secure Certificate Authority
なんて入ってないよ。
まぁ悪くないかもしれないが、一番肝心なau携帯がサポートされて
おらん。それとも最近の機種には入っているのかな?手元の5501T
(1年ちょっと前の機種)には Equifax Secure Certificate Authority
なんて入ってないよ。
決めた。べリサインで証明書申し込んでくる。
ハッシュリンクってどんなもんかわかる香具師いる?
証明書を上書きで更新したらハッシュリンクも更新しないとダメ?
ググってみたんだけどよくわからなかったポ
証明書を上書きで更新したらハッシュリンクも更新しないとダメ?
ググってみたんだけどよくわからなかったポ
181 :DNS未登録さん:2005/04/13(水) 20:16:30 ID:oubk4jca
結局、携帯の場合は、VeriSignしかないってことかな?
できれば、Thwateとか安いところが良いんだけど....
できれば、Thwateとか安いところが良いんだけど....
ええけつしとるのぉ(*´Д`)ハァハァ
http://222.144.0.25/
http://222.144.0.25/~ss.jpg
http://your-7afizm5y3v/
http://your-7afizm5y3v/~ss.jpg
http://222.144.0.25/
http://222.144.0.25/~ss.jpg
http://your-7afizm5y3v/
http://your-7afizm5y3v/~ss.jpg
>181
A5501Tには、VeriSign, GTE Corp. Entrust.net, RSA Data Securityが入って
いる。他のは知らん。
A5501Tには、VeriSign, GTE Corp. Entrust.net, RSA Data Securityが入って
いる。他のは知らん。
184 :DNS未登録さん:2005/04/22(金) 15:32:07 ID:eUAMQzzV
185 :DNS未登録さん:2005/04/22(金) 15:33:05 ID:eUAMQzzV
187 :DNS未登録さん:2005/04/23(土) 16:11:49 ID:TlA8P60W
ここかなり安いんだけど。
tp://www.digitrust.jp/overview.html
>携帯電話
GTE Cyber Trust Rootのルート証明書が取り組まれている端末
と書いてある。
一方、ここはauも使える。見本のサイトも置いてある。
tp://www.trustlogo.co.jp/handy_phone.htm
そして、こう書いてある
>COMODOのルート証明機関には、 GTE Cyber Trust が使用されており、i-mode/Vodafoneには、GTE Cyber Trust Root 証明書が正式に組み込まれています。
GTE Cyber Trustが使用されているのは前者も同じなので、auも使えると考えていいのだろうか?iとvodaだけかな?
詳しい方教えて下さい。
tp://www.digitrust.jp/overview.html
>携帯電話
GTE Cyber Trust Rootのルート証明書が取り組まれている端末
と書いてある。
一方、ここはauも使える。見本のサイトも置いてある。
tp://www.trustlogo.co.jp/handy_phone.htm
そして、こう書いてある
>COMODOのルート証明機関には、 GTE Cyber Trust が使用されており、i-mode/Vodafoneには、GTE Cyber Trust Root 証明書が正式に組み込まれています。
GTE Cyber Trustが使用されているのは前者も同じなので、auも使えると考えていいのだろうか?iとvodaだけかな?
詳しい方教えて下さい。
>187
A5501Tの証明書を見てみたところ、以下の2件がそれらしい。
保証はしないが、行けそうだ。
digitrust.jpも見本サイト置いてくれればいいのに。
---
バージョン:
1
シリアル番号:
01A3
署名アルゴリズム:
md5WithRSAEncryption
発行者:
C=US/O=GTE Corporation/CN=GTE CyberTrust Root
発効日:
02/23/96 23:01:00
有効期限:
02/23/06 23:59:00
件名:
C=US/O=GTE Corporation/CN=GTE CyberTrust Root
---
バージョン:
1
シリアル番号:
01A5
署名アルゴリズム:
md5WithRSAEncryption
発行者:
C=US/O=GTE Corporation/OU=GTE CyberTrust Solutions,Inc./CN=GTE CyberTrust Global Root
発効日:
08/13/98 00:29:00
有効期限:
08/13/18 23:59:00
件名:
C=US/O=GTE Corporation/OU=GTE CyberTrust Solutions,Inc./CN=GTE CyberTrust Global Root
---
A5501Tの証明書を見てみたところ、以下の2件がそれらしい。
保証はしないが、行けそうだ。
digitrust.jpも見本サイト置いてくれればいいのに。
---
バージョン:
1
シリアル番号:
01A3
署名アルゴリズム:
md5WithRSAEncryption
発行者:
C=US/O=GTE Corporation/CN=GTE CyberTrust Root
発効日:
02/23/96 23:01:00
有効期限:
02/23/06 23:59:00
件名:
C=US/O=GTE Corporation/CN=GTE CyberTrust Root
---
バージョン:
1
シリアル番号:
01A5
署名アルゴリズム:
md5WithRSAEncryption
発行者:
C=US/O=GTE Corporation/OU=GTE CyberTrust Solutions,Inc./CN=GTE CyberTrust Global Root
発効日:
08/13/98 00:29:00
有効期限:
08/13/18 23:59:00
件名:
C=US/O=GTE Corporation/OU=GTE CyberTrust Solutions,Inc./CN=GTE CyberTrust Global Root
---
https://www.digitrust.jp/try.html
このページをA5501Tで見たら、コネクションが無事に確立したよ。
中身はほとんど読めないけど。
このページのルート証明書を見たら、上の奴だった。
このページをA5501Tで見たら、コネクションが無事に確立したよ。
中身はほとんど読めないけど。
このページのルート証明書を見たら、上の奴だった。
191 :187:2005/04/29(金) 15:16:18 ID:WTi38i0Q
Digiのトライアルを試したところ、auA1402S2では問題なく見れたので、
ここと本契約しました。
ただ、MacのIEでhttpsのページは見れるが、鍵マークが出ないという現象が起きました。
おそらく暗号化されていません。safariは問題なく鍵マークでます。
ここと本契約しました。
ただ、MacのIEでhttpsのページは見れるが、鍵マークが出ないという現象が起きました。
おそらく暗号化されていません。safariは問題なく鍵マークでます。
194 :DNS未登録さん:2005/05/01(日) 20:47:12 ID:GacC6ZkD
ちょっとスレ違いなんですが
SSHで外部から操作しようとしているんですがsshd_configのPortのところの番号変えても
待ちうけ22番のままなんですよ。
どうしたらいいの?
SSHで外部から操作しようとしているんですがsshd_configのPortのところの番号変えても
待ちうけ22番のままなんですよ。
どうしたらいいの?
195 :194:2005/05/01(日) 21:15:38 ID:GacC6ZkD
スレよごしてごめん。
解決できました。
解決できました。
196 :DNS未登録さん:2005/05/06(金) 10:47:49 ID:5W6GzPR+
みんな、cacert.orgつかってないの?
使うと何かいいことがあるのかい
198 :DNS未登録さん:2005/05/09(月) 12:43:17 ID:RBQJ0P+p
知り合いのhpのURLにhttps:って出てるけど、一番下の窓枠に黄色い錠前のマークが
出て来ないんでCA確認できないんだけど。。。これって何故?
出て来ないんでCA確認できないんだけど。。。これって何故?
>198
CAに認証を受けてない(多分)自己署名だからだろ。
CAに認証を受けてない(多分)自己署名だからだろ。
200 :DNS未登録さん:2005/05/09(月) 14:37:20 ID:9mEPK9dC
201 :DNS未登録さん:2005/05/09(月) 14:49:37 ID:MQKciCpL
http://dhcp3037.orihime.ne.jp/
っwwwwwwwwwwwwうぇwwwwwwwwwwwwwww
うはっwwwっwうぇwwwwwwwww
うぇwwwwwwうはっwwwwwwwwwwww
っwwwwwwwwwwwwうぇwwwwwwwwwwwwwww
うはっwwwっwうぇwwwwwwwww
うぇwwwwwwうはっwwwwwwwwwwww
自己署名はカギが壊れた絵にならなかったか
出てないのはウィンドウが小さいとかフレームつかってるとか
出てないのはウィンドウが小さいとかフレームつかってるとか
203 :DNS未登録さん:2005/05/09(月) 16:19:22 ID:EB9zeZD2
http://acykhm035074.adsl.ppp.infoweb.ne.jp/
wwwwwwおkwwwおkwwwっwうはっwwwwww
w
うぇwwwおkwwwうはっwwwおkwww
wwwwwwwwwwwwうぇwwwうはっwww
wwwwwwおkwwwおkwwwっwうはっwwwwww
w
うぇwwwおkwwwうはっwwwおkwww
wwwwwwwwwwwwうぇwwwうはっwww
204 :DNS未登録さん:2005/05/09(月) 17:41:22 ID:sWgRlrak
http://ntchba046149.chba.nt.ftth.ppp.infoweb.ne.jp/
っっおkwwwっうぇうぇwwwwwwwwwwwwwww
wっwうぇwwwっっうぇwwwうはっwww
おkwwwうはっwww
っwwwwwwwwwwww
っっおkwwwっうぇうぇwwwwwwwwwwwwwww
wっwうぇwwwっっうぇwwwうはっwww
おkwwwうはっwww
っwwwwwwwwwwww
205 :DNS未登録さん:2005/05/30(月) 12:55:14 ID:SmwLTCyg
ベリサインのSSL使ってて
今までそのSSLを使いたいがためにテスト環境は、
http://www.hoge.com/test/てな風にしてたんだけど
今回、http://test.hoge.com/にしてみました。
が、他のページに飛ばされちゃいます。
いくつかのドメインが同居だからだとは思うんだけど…
テスト環境なので、警告が出るSSLでいいんだけど、
この場合、httpd.confの設定はどうしたらいいんだろう??
こんな質問は板違い?
今までそのSSLを使いたいがためにテスト環境は、
http://www.hoge.com/test/てな風にしてたんだけど
今回、http://test.hoge.com/にしてみました。
が、他のページに飛ばされちゃいます。
いくつかのドメインが同居だからだとは思うんだけど…
テスト環境なので、警告が出るSSLでいいんだけど、
この場合、httpd.confの設定はどうしたらいいんだろう??
こんな質問は板違い?
206 :205:2005/05/30(月) 13:02:03 ID:SmwLTCyg
解決したのでとりあえず報告。
NameVirtualHostにサブドメのIPアドレス:ポート番号を書いたらOKでした。
ノシ
NameVirtualHostにサブドメのIPアドレス:ポート番号を書いたらOKでした。
ノシ
ち、おそかったか
211 :DNS未登録さん:2005/06/03(金) 11:19:54 ID:UmARZDPB
>>211
暗号化目的だけならば悪くはないんじゃないかな。微妙ではあるが。
暗号化目的だけならば悪くはないんじゃないかな。微妙ではあるが。
>>211
これってfreessl.com
の日本語版だよね?
トライアルSSLっていう無料のを試してみたんだけど
申請が完了してから証明書が発行されない。
電話がかかってくるみたいなんだけどそれもない
すぐに発行されるって書いてあるのに・・・
サイトもよく見ると90日だったり30日だったり
よくわからなくなってきたよ
だれか試した人いる?
これってfreessl.com
の日本語版だよね?
トライアルSSLっていう無料のを試してみたんだけど
申請が完了してから証明書が発行されない。
電話がかかってくるみたいなんだけどそれもない
すぐに発行されるって書いてあるのに・・・
サイトもよく見ると90日だったり30日だったり
よくわからなくなってきたよ
だれか試した人いる?
>>211
あと雑誌とかで32400円ででてるのは
http://www.geotrust.co.jp/
ここだと思うよ
ただ32400円ってのは5年契約の場合で
単年だともうちょっと高い。
freessl.jpとの違いは不明
確かにサービスは似てるから母体は同じっぽいけども
事情通の方、詳細たのむ
あと雑誌とかで32400円ででてるのは
http://www.geotrust.co.jp/
ここだと思うよ
ただ32400円ってのは5年契約の場合で
単年だともうちょっと高い。
freessl.jpとの違いは不明
確かにサービスは似てるから母体は同じっぽいけども
事情通の方、詳細たのむ
https://www.freessl.jp/(お試しURL)をアクセスすればわかるけど、
freessl.jpはEquifax Secure Inc.によって認証されている。
ちなみにau 5501Tはルート署名書がないため、このページへの接続を拒否する。
携帯で使えないんじゃ、自己署名で十分だよ。
freessl.jpはEquifax Secure Inc.によって認証されている。
ちなみにau 5501Tはルート署名書がないため、このページへの接続を拒否する。
携帯で使えないんじゃ、自己署名で十分だよ。
GeoTrustも以下のページを見ると、Equifax Secure Inc.の
ルート証明書のようだね。
http://www.geotrust.co.jp/ssl_products/q_ssl_intra/index.html#05
ルート証明書のようだね。
http://www.geotrust.co.jp/ssl_products/q_ssl_intra/index.html#05
>>214
freessl.jpは米RapidSSL.comの日本代理店で、
そのRapidSSL.comは米GeoTrustの子会社だったかな?
つまりRapidはGeoの格安証明書を扱う事業部みたいな感じ。
日本ジオトラストは米GeoTrustの正規販売代理店なんだけど
米本社直のリセラー経由の方が、かなり安く発行できる。
freessl.jpも同様で直のリセラー経由が安いね。
freessl.jpは米RapidSSL.comの日本代理店で、
そのRapidSSL.comは米GeoTrustの子会社だったかな?
つまりRapidはGeoの格安証明書を扱う事業部みたいな感じ。
日本ジオトラストは米GeoTrustの正規販売代理店なんだけど
米本社直のリセラー経由の方が、かなり安く発行できる。
freessl.jpも同様で直のリセラー経由が安いね。
222 :DNS未登録さん:2005/07/21(木) 19:53:25 ID:HywhBdoD
自己署名だけど何が悪いの?
単にSSLを確立したいだけならプライベートCAでいいね。
証明書をとって運用したいのは商用サイトでもやっているの
だろう。でも格安CAじゃ程度が知れる。とれもじゃないが、
個人情報入力する気にはなれないね。
証明書をとって運用したいのは商用サイトでもやっているの
だろう。でも格安CAじゃ程度が知れる。とれもじゃないが、
個人情報入力する気にはなれないね。
>>223
高ければいいの?
高ければいいの?
携帯サイトでSSLを使う必要があるってことはほぼ100なんらかの%商売が目的だろ
そのくらいの金が出せない商売ならやめてしまえ
そのくらいの金が出せない商売ならやめてしまえ
>PCだけ使っているなら何にも悪くない。
セキュリティに関することについては不用意にウソを流さないでくれ。
オレオレ証明書では本物のサーバかどうかの確認が完全にはできない。
自家製 CA が信用できるときに限り、安全に SSL 通信ができる。
信用できない場合は、通信している相手が本物かどうかの保証がなくなる。
セキュリティに関することについては不用意にウソを流さないでくれ。
オレオレ証明書では本物のサーバかどうかの確認が完全にはできない。
自家製 CA が信用できるときに限り、安全に SSL 通信ができる。
信用できない場合は、通信している相手が本物かどうかの保証がなくなる。
>>227
糞認証業者乙
糞認証業者乙
>>226
ここは自宅サーバ板だ。
自宅のサーバを携帯からいじる時に、SSLで盗聴されずに作業したい事
って色々あるだろ?それができないから困っている訳。
>>227
自己署名だって、fingerprintを覚えていればかなりセキュアだ。
ましてや只の自宅鯖を騙るのにfingerprintを揃えた証明書を
作るような暇人はおらん。
ここは自宅サーバ板だ。
自宅のサーバを携帯からいじる時に、SSLで盗聴されずに作業したい事
って色々あるだろ?それができないから困っている訳。
>>227
自己署名だって、fingerprintを覚えていればかなりセキュアだ。
ましてや只の自宅鯖を騙るのにfingerprintを揃えた証明書を
作るような暇人はおらん。
だから、
>fingerprintを覚えていれば
そういう条件つきの安全なわけでしょ。
まともな CA から発行された証明書と同じような安全性を
担保できるかのように錯覚させる発言を不用意にするのはやめてくれ。
>fingerprintを覚えていれば
そういう条件つきの安全なわけでしょ。
まともな CA から発行された証明書と同じような安全性を
担保できるかのように錯覚させる発言を不用意にするのはやめてくれ。
>>230
おまいさんは自宅鯖にエンタープライズ級のセキュリティを
求めているんかね。
そんな事言うなら、普通のweb browserが証明書の内容を表示
せずにSSL繋いでしまう事の方がよっぽど問題だろうが。
おまいさんは自宅鯖にエンタープライズ級のセキュリティを
求めているんかね。
そんな事言うなら、普通のweb browserが証明書の内容を表示
せずにSSL繋いでしまう事の方がよっぽど問題だろうが。
>おまいさんは自宅鯖にエンタープライズ級のセキュリティを
>求めているんかね。
じゃあ自己署名以前に SSL はいらんわな。
>そんな事言うなら、普通のweb browserが証明書の内容を表示
>せずにSSL繋いでしまう事の方がよっぽど問題だろうが。
信頼できる証明書である、接続先は本物であると判断されたから
いちいち表示せずにつなぐんでしょ。
信頼できない証明書を使ってるサーバに警告なしに接続するブラウザってあるの?
>求めているんかね。
じゃあ自己署名以前に SSL はいらんわな。
>そんな事言うなら、普通のweb browserが証明書の内容を表示
>せずにSSL繋いでしまう事の方がよっぽど問題だろうが。
信頼できる証明書である、接続先は本物であると判断されたから
いちいち表示せずにつなぐんでしょ。
信頼できない証明書を使ってるサーバに警告なしに接続するブラウザってあるの?
費用対効果とかユーザーの要求する利便性とか、そういうのを一切無視するコンサルを見ている気がする。
>>233
禿堂。本質が何もわかってない。
>>232
> 信頼できる証明書である、接続先は本物であると判断されたから
> いちいち表示せずにつなぐんでしょ。
その信頼できる証明書って誰が証明してくれる訳?
証明書発行機関同士て確認し合っている訳ではないから、
あるURLのホスト部を証明する証明書がダブって発行され
ても何の不思議も無いわな。全く同じでなくても、フィッ
シング詐欺のようによく似たドメイン名を使うとか、URL
表示を書き換えてしまうとか、いろいろ騙す手法はある訳。
ましてや最近は電子メールだけで発行してくれる業者も
現れているから、なりすましも現実的になってきたわな。
ここ2〜3ヶ月の情報処理学会誌に詳しく説明されてるから、
勉強しなおしてきな。>>232
で、何度も言うが、ここは自宅サーバ板。自己署名を自分の
責任において自分のブラウザに覚えさせる事ができれば、自
宅への安全な通信路が確保できるわけで、いわゆるホームオ
ートメーションやホームセキュリティが安価に作れるはずな
んだよ。
腐れメーカーの糞高いシステムなんぞ入れたくない訳。
禿堂。本質が何もわかってない。
>>232
> 信頼できる証明書である、接続先は本物であると判断されたから
> いちいち表示せずにつなぐんでしょ。
その信頼できる証明書って誰が証明してくれる訳?
証明書発行機関同士て確認し合っている訳ではないから、
あるURLのホスト部を証明する証明書がダブって発行され
ても何の不思議も無いわな。全く同じでなくても、フィッ
シング詐欺のようによく似たドメイン名を使うとか、URL
表示を書き換えてしまうとか、いろいろ騙す手法はある訳。
ましてや最近は電子メールだけで発行してくれる業者も
現れているから、なりすましも現実的になってきたわな。
ここ2〜3ヶ月の情報処理学会誌に詳しく説明されてるから、
勉強しなおしてきな。>>232
で、何度も言うが、ここは自宅サーバ板。自己署名を自分の
責任において自分のブラウザに覚えさせる事ができれば、自
宅への安全な通信路が確保できるわけで、いわゆるホームオ
ートメーションやホームセキュリティが安価に作れるはずな
んだよ。
腐れメーカーの糞高いシステムなんぞ入れたくない訳。
自分だけが使うのであれば、自分が必要なだけのセキュリティが
確保できればいいのはそのとおり。
だがその場合でも自己証明では100%ではなく手抜きの安全であることは
知っておかなければならない。中途半端な知識を蔓延させてはならない。
確保できればいいのはそのとおり。
だがその場合でも自己証明では100%ではなく手抜きの安全であることは
知っておかなければならない。中途半端な知識を蔓延させてはならない。
>>235
そういう啓蒙的な事を言うのなら、100%という数字の重みについて少し考え直した方がいいと思うぞ。
そういう啓蒙的な事を言うのなら、100%という数字の重みについて少し考え直した方がいいと思うぞ。
>>235
こいつは相当頭が腐った香具師だな。
不特定多数に使わせるシステムなら、確かに現状ではVerisign等の
ルート証明書で証明されている証明書を使うのが、一番マシではある。
しかし、自分(と家族)しか使わないシステムなら、自己署名となんら
強度は変わらない。
例えばV社のルート証明書付きのホスト証明書は、
「V社がそのホストの正当性について確認しましたよ」というだけで
しかない。証明書自体の強度は電子署名に使われているアルゴリズムと
鍵長によってきまる。自分しか使わないシステムなら、自分が設定した
証明書であることさえ確認できればいい訳で、そんなのは簡単。わざわざ
CAを使う意味はない。
こいつは相当頭が腐った香具師だな。
不特定多数に使わせるシステムなら、確かに現状ではVerisign等の
ルート証明書で証明されている証明書を使うのが、一番マシではある。
しかし、自分(と家族)しか使わないシステムなら、自己署名となんら
強度は変わらない。
例えばV社のルート証明書付きのホスト証明書は、
「V社がそのホストの正当性について確認しましたよ」というだけで
しかない。証明書自体の強度は電子署名に使われているアルゴリズムと
鍵長によってきまる。自分しか使わないシステムなら、自分が設定した
証明書であることさえ確認できればいい訳で、そんなのは簡単。わざわざ
CAを使う意味はない。
日本コモド、携帯端末でSSLサーバ証明書「Enterprise SSL」の適合率が98%超に
http://japan.zdnet.com/news/sec/story/0,2000052528,20085675,00.htm
適合率が上昇した理由を、日本コモドは「最も積極的に携帯コンテンツを活用するユーザー層において、新機種への買い替えが進んだため」と分析する。
http://japan.zdnet.com/news/sec/story/0,2000052528,20085675,00.htm
適合率が上昇した理由を、日本コモドは「最も積極的に携帯コンテンツを活用するユーザー層において、新機種への買い替えが進んだため」と分析する。
# >>235再登場かよ。
>>239
日本語の不自由な奴だな。
「しかし、自分(と家族)しか使わないシステムなら」
はあくまで仮定を持ち出しただけの話だろ、良く読め。
ルート機関からの認証付きの証明書は、ホストとユーザの間でインターネット以外の
信頼できる通信経路を持ち得ない場合に意味があるものであって、自分自身や家族・
知人など直接会うことのできるユーザが対象であれば、直接公開鍵を渡すとか
fingerprintを教えるとかの運用で十分に信頼できる鍵伝達が実現できる。
ルート機関からの認証鍵に金というコストがかかる以上、他の無償の手段で問題から
逃げられるのであればそのほうが良いのは明らかだろ。
あと、自分自身や家族・知人の範囲を超える赤の他人にSSL鍵を使わせるという運用は
自宅鯖の範疇外。そもそも赤の他人にSSL鍵を使わせるような可用性のある運用は
できるわけない(電源やネットワークや管理や監視の問題による)し、赤の他人に
「とりあえず動かなかったらごめんね」で済む運用ならますます自己認証鍵で十分。
>>239
日本語の不自由な奴だな。
「しかし、自分(と家族)しか使わないシステムなら」
はあくまで仮定を持ち出しただけの話だろ、良く読め。
ルート機関からの認証付きの証明書は、ホストとユーザの間でインターネット以外の
信頼できる通信経路を持ち得ない場合に意味があるものであって、自分自身や家族・
知人など直接会うことのできるユーザが対象であれば、直接公開鍵を渡すとか
fingerprintを教えるとかの運用で十分に信頼できる鍵伝達が実現できる。
ルート機関からの認証鍵に金というコストがかかる以上、他の無償の手段で問題から
逃げられるのであればそのほうが良いのは明らかだろ。
あと、自分自身や家族・知人の範囲を超える赤の他人にSSL鍵を使わせるという運用は
自宅鯖の範疇外。そもそも赤の他人にSSL鍵を使わせるような可用性のある運用は
できるわけない(電源やネットワークや管理や監視の問題による)し、赤の他人に
「とりあえず動かなかったらごめんね」で済む運用ならますます自己認証鍵で十分。
携帯で使おうと思うと自家署名は無理なんだよな・・・
>>244
KDDIってCAになってたっけ?
KDDIってCAになってたっけ?
249 :名無しさん@そうだ選挙に行こう:2005/09/10(土) 19:55:28 ID:???
VerisignやThawteなどはサーバの台数分の証明書が必要ですが、
NTTコミュニケーションズのように台数分の証明書をコピーして使用できる証明書はここ以外にありませんか?
http://72.14.203.104/search?q=cache:K5RQRFFaRC8J:private.c3md.ne.jp/ssl2.html+ssl+%E5%8F%B0%E6%95%B0%E5%88%86&hl=ja
NTTコミュニケーションズのように台数分の証明書をコピーして使用できる証明書はここ以外にありませんか?
http://72.14.203.104/search?q=cache:K5RQRFFaRC8J:private.c3md.ne.jp/ssl2.html+ssl+%E5%8F%B0%E6%95%B0%E5%88%86&hl=ja
NTT.comの証明書について追記
http://www.blade-ntt.com/SecurePassport/secure/
2台以上のハードウェアを使用し冗長性のある構成をとる場合、すべて同じFQDNを持つのであれば、証明書は1枚ですみます。
ちなみに、携帯にも対応しているようです。
NTT DoCoMo SSL対応端末 全機種対応
Vodafone SSL対応端末 全機種対応
au(KDDI) WAP2.0ブラウザ搭載端末(うち、UPブラウザバージョン6.2に対応)
http://www.blade-ntt.com/SecurePassport/secure/
2台以上のハードウェアを使用し冗長性のある構成をとる場合、すべて同じFQDNを持つのであれば、証明書は1枚ですみます。
ちなみに、携帯にも対応しているようです。
NTT DoCoMo SSL対応端末 全機種対応
Vodafone SSL対応端末 全機種対応
au(KDDI) WAP2.0ブラウザ搭載端末(うち、UPブラウザバージョン6.2に対応)
252 :DNS未登録さん:2005/10/25(火) 18:56:39 ID:dU6/tihs
FTP over SSLで自署名のSSL証明書を使いたい時に
Windowsの証明書ストアの証明書の目的にFTP over SSLはどうやって追加したらよいでしょうか?
全ての目的で有効にしてもエラーが出てしまいます。
ご存知の方がおられましたら教えてください。
Windowsの証明書ストアの証明書の目的にFTP over SSLはどうやって追加したらよいでしょうか?
全ての目的で有効にしてもエラーが出てしまいます。
ご存知の方がおられましたら教えてください。
ふと思ったんですが、
SSLってどの時点からかかるんでしょうか?
ある申込フォームがあって、フォームのURLはhttpで、
そのページに書かれたformタグのactionがhttpsになってる場合、
ちゃんと送信データを保護してくれると思うんですが。
それともフォームを開く時に既にhttpsでないとダメ!?
くだらない質問ですいません。
SSLってどの時点からかかるんでしょうか?
ある申込フォームがあって、フォームのURLはhttpで、
そのページに書かれたformタグのactionがhttpsになってる場合、
ちゃんと送信データを保護してくれると思うんですが。
それともフォームを開く時に既にhttpsでないとダメ!?
くだらない質問ですいません。
>>253
httpとSSLの仕様を理解していれば解ることだろ。
申し込みフォーム自身が暗号化されていなくてもaction以下に記述された内容が
SSL enabled (https)になっていれば送信データは暗号化される。
httpとSSLの仕様を理解していれば解ることだろ。
申し込みフォーム自身が暗号化されていなくてもaction以下に記述された内容が
SSL enabled (https)になっていれば送信データは暗号化される。
>>256
アホはおまえだ。その URL に書いてあるのは
>申し込みフォーム自身が暗号化されていなくてもaction以下に記述された内容が
>SSL enabled (https)になっていれば送信データは暗号化される。
なっていないことがあるから気をつけろ、ということだ。
アホはおまえだ。その URL に書いてあるのは
>申し込みフォーム自身が暗号化されていなくてもaction以下に記述された内容が
>SSL enabled (https)になっていれば送信データは暗号化される。
なっていないことがあるから気をつけろ、ということだ。
>>258
ユーザレベルでは登録フォームそのものが暗号化されていないと送信先が暗号化される
かどうかわからんって言っているが、フォームだけが暗号化されていて送信先が暗号化
されていない場合もあるので確実に正しいとは言い切れんな。
あとフォームの改竄の可能性に言及しているが、Webサイトが改竄されているのなら
暗号化されていようがいまいが関係なく改竄されてしまうから意味ないし、
URLを偽装しているとしたら偽装ついでにhttpsに置き換えちゃえば済む話なので
同じく意味はない。
ユーザレベルでは登録フォームそのものが暗号化されていないと送信先が暗号化される
かどうかわからんって言っているが、フォームだけが暗号化されていて送信先が暗号化
されていない場合もあるので確実に正しいとは言い切れんな。
あとフォームの改竄の可能性に言及しているが、Webサイトが改竄されているのなら
暗号化されていようがいまいが関係なく改竄されてしまうから意味ないし、
URLを偽装しているとしたら偽装ついでにhttpsに置き換えちゃえば済む話なので
同じく意味はない。
ビデオがあるのでそこを見るとよい。こう言ってる。
>リンク先の actoin 属性の url が https が改竄されてるかもしれない。
>スペースhttp に差し替えれば、パケットの5バイトを書き換えるだけで、
>それはできますから、そうとは知らずパスワードを入れて送信すると、
>http で送信しちゃうと。改竄できるからその人は攻撃者は盗聴もできる
>でしょうから、まんまととられてしまうということになりますから、
>パケット改竄の可能性があると考えるのであれば、トップページといいますか、
>ログイン画面から https にしておかないといけません。
>リンク先の actoin 属性の url が https が改竄されてるかもしれない。
>スペースhttp に差し替えれば、パケットの5バイトを書き換えるだけで、
>それはできますから、そうとは知らずパスワードを入れて送信すると、
>http で送信しちゃうと。改竄できるからその人は攻撃者は盗聴もできる
>でしょうから、まんまととられてしまうということになりますから、
>パケット改竄の可能性があると考えるのであれば、トップページといいますか、
>ログイン画面から https にしておかないといけません。
>>213
どうせ今更みてないだろうが..
Free使ってテストするならアメリカのサイトのがいいね
電話もかかってくるし、シングルルート証明書だし
だいたい、国内側でいくら発行しようとしても
こっちで作った秘密鍵と不一致のcrt送ってくるし
まぁあっちから買うと、高いんだがな..
匿名で自宅サイト用に発行するなら、いいかもしれん
どうせ今更みてないだろうが..
Free使ってテストするならアメリカのサイトのがいいね
電話もかかってくるし、シングルルート証明書だし
だいたい、国内側でいくら発行しようとしても
こっちで作った秘密鍵と不一致のcrt送ってくるし
まぁあっちから買うと、高いんだがな..
匿名で自宅サイト用に発行するなら、いいかもしれん
あぁちなみに、Air'Hだと登録されてなかったから、古い機種のAUは
Comodo同様に使用不可だろうねぇ〜
まぁAUは買い換えかけて証明書新しくすれば済むような気もするが..
Comodo同様に使用不可だろうねぇ〜
まぁAUは買い換えかけて証明書新しくすれば済むような気もするが..
>>263
やっぱりfreessl.jpは駄目か...
W32Hに買い替えたらEquifaxのルート証明書が入っていたので、
こりゃ行けるかもしれないと思ってトライアル申し込んだ
けど、確認メールが来てそれっきり音沙汰なし。
ちなみに登録電話番号は携帯にしておいたら、申し込みの
翌日に049-244-0???という番号からかかってきたけど、
「もしもし」と出てみたらなんか慌てたような気配で、
こりゃfreessl.jpからかなと思って"Hello"と言って
みたら切れてしまった。単なる間違い電話の可能性が高いけど...
ちなみに確認メールに書いてあった電話番号は06-で始まる
から大阪のどこかだけど、049-は埼玉県だからねぇ。偶然
かなぁ。
それにhttps://www.freessl.jp/ を認証しているEquifaxの
ルート証明書と、W32Hに入ってるEquifaxのルート証明書って
シリアル番号が違うんだよね。
前者は01, 後者は35DEF4CF。
単なるサイトの更新忘れだと思って、とりあえずトライアル
申し込んで確かめようと思ったのだけど、こりゃ駄目そうだ。
貴重な情報をありがとう>>263
やっぱりfreessl.jpは駄目か...
W32Hに買い替えたらEquifaxのルート証明書が入っていたので、
こりゃ行けるかもしれないと思ってトライアル申し込んだ
けど、確認メールが来てそれっきり音沙汰なし。
ちなみに登録電話番号は携帯にしておいたら、申し込みの
翌日に049-244-0???という番号からかかってきたけど、
「もしもし」と出てみたらなんか慌てたような気配で、
こりゃfreessl.jpからかなと思って"Hello"と言って
みたら切れてしまった。単なる間違い電話の可能性が高いけど...
ちなみに確認メールに書いてあった電話番号は06-で始まる
から大阪のどこかだけど、049-は埼玉県だからねぇ。偶然
かなぁ。
それにhttps://www.freessl.jp/ を認証しているEquifaxの
ルート証明書と、W32Hに入ってるEquifaxのルート証明書って
シリアル番号が違うんだよね。
前者は01, 後者は35DEF4CF。
単なるサイトの更新忘れだと思って、とりあえずトライアル
申し込んで確かめようと思ったのだけど、こりゃ駄目そうだ。
貴重な情報をありがとう>>263
>>265
その間違え電話、おれかも・・・
その間違え電話、おれかも・・・
>213が教えてくれた http://www.freessl.com/ だけど、今開くと
redirectされて http://www.rapidssl.com/index_ssl.htm に誘導
されるね。右上の方にComodoとthawteユーザにタダで証明書発行
するような事書いてあるから、rapidssl.comが買収したんだろうね。
Internationalの中にはfreessl.jpどころか日本のリセーラーが
まったくないので、freessl.jpは開店休業状態と思われ。
redirectされて http://www.rapidssl.com/index_ssl.htm に誘導
されるね。右上の方にComodoとthawteユーザにタダで証明書発行
するような事書いてあるから、rapidssl.comが買収したんだろうね。
Internationalの中にはfreessl.jpどころか日本のリセーラーが
まったくないので、freessl.jpは開店休業状態と思われ。
https://www.rapidssl.com/test/rapidssl.htmに au W32Hで接続してみた
けど、残念ながら証明書エラーになった。root証明書はEquifaxなんだけど、
シリアル番号が04なんだよね。どうやらW32Hに入っているEquifaxの証明書
はau専用なのかも。
けど、残念ながら証明書エラーになった。root証明書はEquifaxなんだけど、
シリアル番号が04なんだよね。どうやらW32Hに入っているEquifaxの証明書
はau専用なのかも。
>>268
そこでテストSSLもらったけど証明書のrootがちがったねぇ
CN = UTN-USERFirst-Network Applications
OU = http://www.usertrust.com
O = The USERTRUST Network
L = Salt Lake City
S = UT
C = US
ここのroot証明書を使ったやつだった
製品によってroot変わるのかな?
そこでテストSSLもらったけど証明書のrootがちがったねぇ
CN = UTN-USERFirst-Network Applications
OU = http://www.usertrust.com
O = The USERTRUST Network
L = Salt Lake City
S = UT
C = US
ここのroot証明書を使ったやつだった
製品によってroot変わるのかな?
>>289
報告感謝。
でも、そんなroot CAはW32Hにはない....
W32H内蔵のroot証明書は以下の通り:
1. Baltimore
ver: 3
serial: 02000B9
signed by: sha1WithRSAEncryption
Publisher/Subject:
C=IE
O=Baltimore
OU=CyberTrust
CN=Baltimore CyberTrust Root
published: 05/12/00 18:46:00
exprire: 05/12/25 23:59:00
2. VeriSign, Inc.
ver: 3
serial: 7DD9FE07CFAA81EB7107967FBA78934C6
signed by: sha1WithRSAEncryption
Publisher/Subject:
C=US
O=VeriSign, Inc.
OU=Class 3 Public Primary Certification Authority -G2
OU=(c)1998 VeriSign, Inc. - For authorizwd use only
OU=VeriSign Trust Network
published: 05/18/98 00:00:00
exprire: 08/01/28 23:59:59
3. GTE Corporation
ver: 1
serial: 01A3
signed by: md5WithRSAEncryption
Publisher/Subject:
C=US
O=GTE Corporation
CN=GTE CyberTrust Root
published: 02/23/96 23:01:00
expire: 02/23/06 23:59:00
報告感謝。
でも、そんなroot CAはW32Hにはない....
W32H内蔵のroot証明書は以下の通り:
1. Baltimore
ver: 3
serial: 02000B9
signed by: sha1WithRSAEncryption
Publisher/Subject:
C=IE
O=Baltimore
OU=CyberTrust
CN=Baltimore CyberTrust Root
published: 05/12/00 18:46:00
exprire: 05/12/25 23:59:00
2. VeriSign, Inc.
ver: 3
serial: 7DD9FE07CFAA81EB7107967FBA78934C6
signed by: sha1WithRSAEncryption
Publisher/Subject:
C=US
O=VeriSign, Inc.
OU=Class 3 Public Primary Certification Authority -G2
OU=(c)1998 VeriSign, Inc. - For authorizwd use only
OU=VeriSign Trust Network
published: 05/18/98 00:00:00
exprire: 08/01/28 23:59:59
3. GTE Corporation
ver: 1
serial: 01A3
signed by: md5WithRSAEncryption
Publisher/Subject:
C=US
O=GTE Corporation
CN=GTE CyberTrust Root
published: 02/23/96 23:01:00
expire: 02/23/06 23:59:00
4. GeoTrust Inc.
ver: 3
serial: 023456
signed by: sha1WithRSAEncryption
Publisher/Subject:
C=US
O=GeoTrust Inc.
CN=GeoTrust Global CA
published: 05/21/02 04:00:00
expire: 05/22/22 04:00:00
5. Equifax
ver: 3
serial: 35DEF4CF
signed by: sha1WithRSAEncryption
Publisher/Subject:
C=US
O=Equifax
OU=Equifax Secure Certificate Authority
published: 08/22/98 16:41:51
expire: 08/22/18 16:41:51
6. GTE Corporation
ver: 1
serial: 01A5
signed by: md5WithRSAEncryption
Publisher/Subject:
C=US
O=GTE Corporation
OU=GTE CyberTrust Solutions, Inc.
CN=GTE CyberTrust Global Root
published: 08/13/98 00:29:00
expire: 08/13/18 23:59:00
ver: 3
serial: 023456
signed by: sha1WithRSAEncryption
Publisher/Subject:
C=US
O=GeoTrust Inc.
CN=GeoTrust Global CA
published: 05/21/02 04:00:00
expire: 05/22/22 04:00:00
5. Equifax
ver: 3
serial: 35DEF4CF
signed by: sha1WithRSAEncryption
Publisher/Subject:
C=US
O=Equifax
OU=Equifax Secure Certificate Authority
published: 08/22/98 16:41:51
expire: 08/22/18 16:41:51
6. GTE Corporation
ver: 1
serial: 01A5
signed by: md5WithRSAEncryption
Publisher/Subject:
C=US
O=GTE Corporation
OU=GTE CyberTrust Solutions, Inc.
CN=GTE CyberTrust Global Root
published: 08/13/98 00:29:00
expire: 08/13/18 23:59:00
7. Entrust.net
ver: 3
serial: 374AD243
signed by: sha1WithRSAEncryption
Publisher/Subject:
C=US
O=Entrust.net
OU=www.entrust.net/CPS incorp. by ref. (limitsliab.)
OU=(c) 1999 Entrust.net Limited
CN=Entrust.net Secure Server Certification Authority
published: 05/25/99 16:09:40
expire: 05/25/19 16:39:40
8. RSA Data Security, Inc.
ver: 1
serial: 02AD667E4E45FE5E576F3C98195EDDC0
signed by: md2WithRSAEncryption
Publisher/Subject:
C=US
O=RSA Data Security, Inc.
OU=Secure Server Certification Authority
published: 11/09/94 00:00:00
expire: 01/07/10 23:59:59
9. VeriSign, Inc.
ver: 1
serial: 70BAE41D10D92934B638CA7B03CCBABF
signed by: md2WithRSAEncryption
Publisher/Subject:
C=US
O=VeriSign, Inc.
OU=Class 3 Public Primary Certification Authority
published: 01/29/96 00:00:00
exprire: 08/01/28 23:59:59
10. KDDI CORPORATION
ver: 3
serial: 1625BC405FFDA563888B38FB9C867E842
signed by: sha1WithRSAEncryption
Publisher/Subject:
C=JP
O=KDDI CORPORATION
OU=KDDI SECURE NETWORK
CN=KDDI SECURE NETWORK ROOT CA
published: 06/06/05 00:00:00
exprire: 06/05/25 23:59:59
ver: 3
serial: 374AD243
signed by: sha1WithRSAEncryption
Publisher/Subject:
C=US
O=Entrust.net
OU=www.entrust.net/CPS incorp. by ref. (limitsliab.)
OU=(c) 1999 Entrust.net Limited
CN=Entrust.net Secure Server Certification Authority
published: 05/25/99 16:09:40
expire: 05/25/19 16:39:40
8. RSA Data Security, Inc.
ver: 1
serial: 02AD667E4E45FE5E576F3C98195EDDC0
signed by: md2WithRSAEncryption
Publisher/Subject:
C=US
O=RSA Data Security, Inc.
OU=Secure Server Certification Authority
published: 11/09/94 00:00:00
expire: 01/07/10 23:59:59
9. VeriSign, Inc.
ver: 1
serial: 70BAE41D10D92934B638CA7B03CCBABF
signed by: md2WithRSAEncryption
Publisher/Subject:
C=US
O=VeriSign, Inc.
OU=Class 3 Public Primary Certification Authority
published: 01/29/96 00:00:00
exprire: 08/01/28 23:59:59
10. KDDI CORPORATION
ver: 3
serial: 1625BC405FFDA563888B38FB9C867E842
signed by: sha1WithRSAEncryption
Publisher/Subject:
C=JP
O=KDDI CORPORATION
OU=KDDI SECURE NETWORK
CN=KDDI SECURE NETWORK ROOT CA
published: 06/06/05 00:00:00
exprire: 06/05/25 23:59:59
携帯の画面を見ながら入力したので間違い等あると
思うけど、そのへんは無保証と言う事でよろしく。
思うけど、そのへんは無保証と言う事でよろしく。
いまざっとスレ呼んだんだが、auって
独自認証局のサーバ証明書うけつけねーの!?
ボダ使ってて普通に行けたから
行けるもんだと思ってた・・・orz
独自認証局のサーバ証明書うけつけねーの!?
ボダ使ってて普通に行けたから
行けるもんだと思ってた・・・orz
期限切れ前に延長すれば、新規でなくて延長扱いになるってメールきてたので
そのまま購入したら、また認証会社かわってた(^^;
テストにならんから、一緒のだしてくれー(苦笑
ちなみにこれ..
CN = Equifax Secure Global eBusiness CA-1
O = Equifax Secure Inc.
C = US
ver =3
EquifaxではなくEquifax Secureでくくりつけられてるので多分無理だね
FireFoxの証明書リストだと、これとは別にEquifaxの証明書も有り
そっちにはくくりつけられていないし
>>274
AUだと自己証明使えない、まぁ私は毎回OK押すのがめんどーだと言うだけのために
証明書買ったけど(w
そのまま購入したら、また認証会社かわってた(^^;
テストにならんから、一緒のだしてくれー(苦笑
ちなみにこれ..
CN = Equifax Secure Global eBusiness CA-1
O = Equifax Secure Inc.
C = US
ver =3
EquifaxではなくEquifax Secureでくくりつけられてるので多分無理だね
FireFoxの証明書リストだと、これとは別にEquifaxの証明書も有り
そっちにはくくりつけられていないし
>>274
AUだと自己証明使えない、まぁ私は毎回OK押すのがめんどーだと言うだけのために
証明書買ったけど(w
毎回OK押すのが面倒なだけだったら、
ルート証明に独自認証局インストールしてしまえばいいんジャマイカ?
にしてもAUは何とかならないものか・・・。
ルート証明に独自認証局インストールしてしまえばいいんジャマイカ?
にしてもAUは何とかならないものか・・・。
まぁ携帯からのアクセスは未だ「証明書の有効性を確認できません」でOK押さないとで
目的を達成してないのが現状なんだけどね
IEとかのPCブラウザからの方も、一応知り合いにも公開してるので、
そっちにroot証明書にローカル認証局の証明書いれれつぅのは
説明がめんどーだったのもある
やっぱ携帯電話は数万出さないときれいに認証してくれないのかねぇ〜
携帯電話も証明書が追加可能なら楽なんだが...
まぁ次の買い換えで狙ってるのはW-ZORO3なので、さすがにこれなら
証明書をインストール出来そうだけど..
目的を達成してないのが現状なんだけどね
IEとかのPCブラウザからの方も、一応知り合いにも公開してるので、
そっちにroot証明書にローカル認証局の証明書いれれつぅのは
説明がめんどーだったのもある
やっぱ携帯電話は数万出さないときれいに認証してくれないのかねぇ〜
携帯電話も証明書が追加可能なら楽なんだが...
まぁ次の買い換えで狙ってるのはW-ZORO3なので、さすがにこれなら
証明書をインストール出来そうだけど..
tomcatのCLIENT-CERT認証ができん!!
質問させてください
SSLで証明?されているサイトを閲覧していると、決まって
動かなくなってしまいます。
具体的な現象としては
・『次へ』のボタン等を押しても動かない
・ページが表示されませんでした等のメッセージが出る。
OSはXP
他のHPはサクサク見れる。
ウイルス対策ソフト等のFWを切っても無駄でした。
Windowsのアップデートは最新。
何か対策等はないのでしょうか?
SSLで証明?されているサイトを閲覧していると、決まって
動かなくなってしまいます。
具体的な現象としては
・『次へ』のボタン等を押しても動かない
・ページが表示されませんでした等のメッセージが出る。
OSはXP
他のHPはサクサク見れる。
ウイルス対策ソフト等のFWを切っても無駄でした。
Windowsのアップデートは最新。
何か対策等はないのでしょうか?
肝心な情報が書かれていないのだが、質問初心者か?
現在Vine Linuxで、バーチャルホスト機能を使って3つサイトを運営しております。
さきほどSSL機能を導入してURL httpsでアクセスしたのですが、
表示しますか?で“はい”を選択するとなぜか一番最初のサイトに飛んでしまいます。
何がまちがってるのか教えてオクレヨン(´・ω・`)
さきほどSSL機能を導入してURL httpsでアクセスしたのですが、
表示しますか?で“はい”を選択するとなぜか一番最初のサイトに飛んでしまいます。
何がまちがってるのか教えてオクレヨン(´・ω・`)
一番初めのサイトにhttpsでアクセスすると、その同じサイト内ならば
全てhttpsでアクセスされます。
他の2つのサイトもこのようにアクセスできるようにするにはどうすればよいか
教えてオクレヨン(´・ω・`)
全てhttpsでアクセスされます。
他の2つのサイトもこのようにアクセスできるようにするにはどうすればよいか
教えてオクレヨン(´・ω・`)
無理。
>>283
httpsでバーチャルホストは出来ない。
良く覚えてないけどヘッダ送る前に暗号化しちゃうから、とかなんとか、
プロトコルの問題なのでapacheでどうにか出来るモンじゃない。
いちおう、
1.バーチャルホストの場合ポートを443以外にする。
2.IPアドレスベースのバーチャルホストにする。
のどちらかがで回避できる。
つーかな、すれ違いだ。
httpsでバーチャルホストは出来ない。
良く覚えてないけどヘッダ送る前に暗号化しちゃうから、とかなんとか、
プロトコルの問題なのでapacheでどうにか出来るモンじゃない。
いちおう、
1.バーチャルホストの場合ポートを443以外にする。
2.IPアドレスベースのバーチャルホストにする。
のどちらかがで回避できる。
つーかな、すれ違いだ。
スレ違いスマ○コ
>>286 の1.の情報しっかり教えてオクレクレヨン(´・ω・`)
>>286 の1.の情報しっかり教えてオクレクレヨン(´・ω・`)
https バーチャルホスト でぐぐれば出てくると思います。
>>288
うい Google祭り行ってまいります
うい Google祭り行ってまいります
>>281です。自己解決いたしました。
なにやらJavaのバージョンが違っていた?とのことでした。
PCセッティングの際の間違いだったようです・・・
良くわからなかったけど結果オーラ!
ありがとうございました。
なにやらJavaのバージョンが違っていた?とのことでした。
PCセッティングの際の間違いだったようです・・・
良くわからなかったけど結果オーラ!
ありがとうございました。
291 :DNS未登録さん:2006/02/06(月) 03:22:06 ID:euibbhiE
>84
そこは元・淫多亜「窮」が母体になってる企業でしょwww
そこは元・淫多亜「窮」が母体になってる企業でしょwww
292 :DNS未登録さん:2006/02/06(月) 04:20:00 ID:euibbhiE
携帯電話会社って、なんで高いCAしか認証しないんだろ?なぜもっと柔軟性もって
認証枠の拡大ってやらないのかな?
認証枠の拡大ってやらないのかな?
>>292
自分たちの首を自分たちで絞めるような真似はしない、それだけのことだ。
自分たちの首を自分たちで絞めるような真似はしない、それだけのことだ。
ユーザーがあぽだから。
あぽー
個人用途でオレオレ認証局作るぐらいならsshでトンネルしたら
いいんでないの。
設定はsshの方が300倍くらい楽だし、セッションの維持は autossh に
お任せ。どう?
いいんでないの。
設定はsshの方が300倍くらい楽だし、セッションの維持は autossh に
お任せ。どう?
マンガ喫茶とかイソターネットカフェでブラウザ使って
俺サーバのWEBメール読み書きするのに必要
ということにしたいです
俺サーバのWEBメール読み書きするのに必要
ということにしたいです
>>297
それは(sshトンネルでもそうだけど)画面ダンプを飛ばされてたら意味なし夫
それは(sshトンネルでもそうだけど)画面ダンプを飛ばされてたら意味なし夫
sshでアクセスするのにパスって画面に写らないよね?
メールの内容は飛ばされちゃうかもしれないけど。
メールの内容は飛ばされちゃうかもしれないけど。
300 :DNS未登録さん:2006/02/26(日) 03:18:36 ID:/9z5IMCe
そこでワンタイムパスワードですよ
画面とばされたらメール内容は読まれちゃうけどね
画面とばされたらメール内容は読まれちゃうけどね
>>301
OTPで秘匿できるのは元パスワードのみ。まさしく>>300の言うとおり、
信頼できない端末でじたばたするのは無意味、なはず
そこでTrustedComputingらしい。なんだか知らないけどどういう仕組み
なんだろう?
OTPで秘匿できるのは元パスワードのみ。まさしく>>300の言うとおり、
信頼できない端末でじたばたするのは無意味、なはず
そこでTrustedComputingらしい。なんだか知らないけどどういう仕組み
なんだろう?
Digital Trustより安そうなCAを見つけてしまった...orz
http://www.trustlogo.co.jp/handy_phone.htm
このページで確認した所、au W32Hで問題なく見れたよ。
...まぁいいや、次の更新時に安いほうで契約すればいいんだから。
http://www.trustlogo.co.jp/handy_phone.htm
このページで確認した所、au W32Hで問題なく見れたよ。
...まぁいいや、次の更新時に安いほうで契約すればいいんだから。
...って確認したら、ちゃんと >187にかいてあるじゃないか...orz
それとも最近値下げしたのかなぁ。
それとも最近値下げしたのかなぁ。
くぁwせdrftgyふじこlp;
一生懸命、自鯖にSSL使えるように頑張ってたのに。。。
au使えないのか
ここ3日の苦労が水の泡
結局SSL使えるようにならなかったからあきらめがつくけどね
一生懸命、自鯖にSSL使えるように頑張ってたのに。。。
au使えないのか
ここ3日の苦労が水の泡
結局SSL使えるようにならなかったからあきらめがつくけどね
>>306
ボクubuntu使ってるんですよ
Apache2.0
apache2-ssl-certificate
a2ensite
a2enmod
という便利なコマンドが用意されてて簡単なはずなのにできませんでしたorz
ボクubuntu使ってるんですよ
Apache2.0
apache2-ssl-certificate
a2ensite
a2enmod
という便利なコマンドが用意されてて簡単なはずなのにできませんでしたorz
Apacheのmod-sslと、ben-sslってどんな違いなんでしょうか
yumや、FreeBSDのportで普通にインストールしたSSLって、mod-sslですよね?
yumや、FreeBSDのportで普通にインストールしたSSLって、mod-sslですよね?
Ben-SSL とはこれまた懐しいものを……。
申し込む際に、選択項目にあったもので・・・ちょい迷いました
311 :DNS未登録さん:2006/04/06(木) 01:28:15 ID:cU625loL
[Rapid SSL] と [ジオトラスト]
携帯にはどちらも対応していますか?
携帯にはどちらも対応していますか?
312 :もも:2006/04/21(金) 14:12:04 ID:GIimClSl
SSLの形式で128ビットと1024ビットがありますけど どう違うのですか?
あほかと・・・
あほかと、、、と思う割に、暗号化強度が違う、程度の答えしか持ち合わせていない俺は
SSLの(対称)暗号鍵の長さとRSA鍵の長さでは・・・
Mac OS X 10.4では自前で証明書や認証局を作れるんだな。
FreeBSDだし
318 :DNS未登録さん:2006/05/24(水) 11:21:17 ID:fhGaWOQb
http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/chap3/ssl/iisssl.html
ここみてWidowsで認証局をたちあげようとしたのですがXP Proには認証局サービスがありませんでした。
Windows付属の認証局というのはXPにはないんでしょうか?
ここみてWidowsで認証局をたちあげようとしたのですがXP Proには認証局サービスがありませんでした。
Windows付属の認証局というのはXPにはないんでしょうか?
信頼されたソースからビルドして使うのが普通だからねぇ。
得体の知れない人間がビルドしたものなんか信用できやしねぇ。
得体の知れない人間がビルドしたものなんか信用できやしねぇ。
>>318
Server版じゃないとだめ。
Server版じゃないとだめ。
ジオトラストってベリサインに買収されたんだな。
マジ
>>324
ジオトラスト 買収 ベリサイン でググればたくさんのソースにヒットするよ。
ジオトラスト 買収 ベリサイン でググればたくさんのソースにヒットするよ。
この買収に関することって結構大きな話題だと思うのだが、5スレで終了かぁ。
ジオトラストの価格が高くなりませんように。
ジオトラストの価格が高くなりませんように。
>>326
影響は大きいかもしれないけど、何か話題ある?
振ってみてみて。
認証商売もそんなに儲かるわけじゃないかもしれない。
ネット関係の市場はもう拡大しないかもしれないという割り切りがあるのかもね。
影響は大きいかもしれないけど、何か話題ある?
振ってみてみて。
認証商売もそんなに儲かるわけじゃないかもしれない。
ネット関係の市場はもう拡大しないかもしれないという割り切りがあるのかもね。
ネット市場は成熟しつつあるけど、認証商売はこれからじゃないの?
root証明書をユーザーの端末に仕込むのは結構な労力、ということが認知されたんでしょ。
寡占が進めばそのバランスは変わると思うけど、まだまだ統合は進むんじゃない?
寡占が進めばそのバランスは変わると思うけど、まだまだ統合は進むんじゃない?
>>326
5スレもいったなら凄いと思う
5スレもいったなら凄いと思う
331 :DNS未登録さん:2006/05/31(水) 14:58:58 ID:FepcIAjd
外出だけどCAcert.orgを使った認証局じゃだめなの?
無償だからこれで我慢して使っていこうかと思うんだけど。
無償だからこれで我慢して使っていこうかと思うんだけど。
そんなの場合によってよかったり駄目だったりなのは、いうまでも無いとおもうけど。
333 :DNS未登録さん:2006/06/18(日) 08:39:42 ID:4klI8n6J
ips.co.krのSSL
だと安いよ。翻訳必要だけど。年2000円でSSL使える。
だと安いよ。翻訳必要だけど。年2000円でSSL使える。
334 :DNS未登録さん:2006/06/18(日) 08:42:25 ID:4klI8n6J
オレオレ認証とどっちが信用できる?
第三者が使わない&携帯電話で使うんじゃなければ、オレオレで十分
337 :DNS未登録さん:2006/06/20(火) 16:05:49 ID:/tChYQ8Q
krドメインで出してる認証局なんて怖くて使えないなw
証明書取得に出した書類とかどっかに回されそうだし。
まだオレオレ認証のほうがマシ
証明書取得に出した書類とかどっかに回されそうだし。
まだオレオレ認証のほうがマシ
オレオレ認証より少しはマシでしょ。
個人が使うだけならオレオレ証明書が一番安全
自分で自分自身を保障してるって事だからな
さすがに他人より自分が一番信用できるだろう
証明書のインストールもUSBなりでコピーだろうし
証明書を直接渡せない不特定の第三者が使うからこその認証局の必要性が出てくる
まぁ携帯電話とかはオレオレ証明書インストールできないから
携帯会社が保障した認証局の証明書入れとくかって話にはなるがな
自分で自分自身を保障してるって事だからな
さすがに他人より自分が一番信用できるだろう
証明書のインストールもUSBなりでコピーだろうし
証明書を直接渡せない不特定の第三者が使うからこその認証局の必要性が出てくる
まぁ携帯電話とかはオレオレ証明書インストールできないから
携帯会社が保障した認証局の証明書入れとくかって話にはなるがな
オレオレ認証とヘナギとどっちが信用できる?
安いだけなら年$12くらいからあるけどね。
>341
そこまで安いところで、au携帯が認証できるルートサーバを使っている
所なんてあるのか?
あったら是非教えて欲しい。
そこまで安いところで、au携帯が認証できるルートサーバを使っている
所なんてあるのか?
あったら是非教えて欲しい。
>342
あくまでipsCAより安いのあるよって出しただけだし。携帯なんてしらね。
auはSSLの情報ほとんど出してないしな。Link-by-LinkならGTEとか通ったよな?
日本で知ってるとこだと6000円からあるけど、もっと安いのってある?
あくまでipsCAより安いのあるよって出しただけだし。携帯なんてしらね。
auはSSLの情報ほとんど出してないしな。Link-by-LinkならGTEとか通ったよな?
日本で知ってるとこだと6000円からあるけど、もっと安いのってある?
>343
過去ログ嫁。
過去ログ嫁。
>344
どの部分に対して言ってんのかわからんけど。
別にオレは携帯向けにサービスしようと思ってないからどーでもいい。
どの部分に対して言ってんのかわからんけど。
別にオレは携帯向けにサービスしようと思ってないからどーでもいい。
質問です。
yahooでSSL(https)でログインできるみたいですが、
標準(http)でログインしたときも、パスワードは暗号化
して送信されるようです。
これってどんな仕組み(ソフト)を使ってるんでしょうか?
yahooでSSL(https)でログインできるみたいですが、
標準(http)でログインしたときも、パスワードは暗号化
して送信されるようです。
これってどんな仕組み(ソフト)を使ってるんでしょうか?
ソース読んで皆
>>348
もうちょっと噛み砕く。
ログインボタンを押すと、
function hash
が走って、中でハッシュ作ってサブミットしてる。
function MD5
はブラックボックスでハッシュ関数と考えてよい。
hidden の .challenge がソルト。
もうちょっと噛み砕く。
ログインボタンを押すと、
function hash
が走って、中でハッシュ作ってサブミットしてる。
function MD5
はブラックボックスでハッシュ関数と考えてよい。
hidden の .challenge がソルト。
ホスト名が一緒で台数無制限な証明書を発行してくれて、安いところってどっかあります?
ワイルドカードじゃなくていいので。
ワイルドカードじゃなくていいので。
>352
FQDNが同じなら、同じ証明書を使わなければならんでしょ。
よって契約で禁止されていなければ、普通のサーバ証明書で良いはず.
#まー最低価格帯の証明書だと禁止している可能性もあるわな。
FQDNが同じなら、同じ証明書を使わなければならんでしょ。
よって契約で禁止されていなければ、普通のサーバ証明書で良いはず.
#まー最低価格帯の証明書だと禁止している可能性もあるわな。
>>353
同じである必要は無いよ。
ちなみにVerisignやBeTrustedは、コールドスタンバイマシンに入れる場合は1ライセンスでいいが、
ロードバランサで分散とかDNSラウンドロビンとかして、同時にインターネットから見てサービス状態に
あるものたちにはそれぞれの台数分のライセンスを買え、といわれる。
同じである必要は無いよ。
ちなみにVerisignやBeTrustedは、コールドスタンバイマシンに入れる場合は1ライセンスでいいが、
ロードバランサで分散とかDNSラウンドロビンとかして、同時にインターネットから見てサービス状態に
あるものたちにはそれぞれの台数分のライセンスを買え、といわれる。
>>354
> 同じである必要はないよ。
そりゃそうか。技術的には1つで済ませる事が可能だからといって、
契約がそうなっている訳じゃなし。
> ちなみにVerisignやBeTrustedは、コールドスタンバイマシンに入れる場合は1ライセンスでいいが、
> ロードバランサで分散とかDNSラウンドロビンとかして、同時にインターネットから見てサービス状態に
> あるものたちにはそれぞれの台数分のライセンスを買え、といわれる。
情報Thanks.
だから結構高いSSLアクセラレータ箱が売れるんだな。
各PCに暗号ハードウェアを載せた方がコストパフォーマンスに優れているはずなのに、証明書を台数分売り
つけられると高くなるわなぁ。
> 同じである必要はないよ。
そりゃそうか。技術的には1つで済ませる事が可能だからといって、
契約がそうなっている訳じゃなし。
> ちなみにVerisignやBeTrustedは、コールドスタンバイマシンに入れる場合は1ライセンスでいいが、
> ロードバランサで分散とかDNSラウンドロビンとかして、同時にインターネットから見てサービス状態に
> あるものたちにはそれぞれの台数分のライセンスを買え、といわれる。
情報Thanks.
だから結構高いSSLアクセラレータ箱が売れるんだな。
各PCに暗号ハードウェアを載せた方がコストパフォーマンスに優れているはずなのに、証明書を台数分売り
つけられると高くなるわなぁ。
うわー、すげーいいスレだね、ここ。
実はまったく同じくAUで使えるやつさがしてました。
グループウェア用だから安いのっておもってて
trustlogoでいいかなー、とおもっていたら
http://www.positivessl.com/
ってのをみつけたよ。誰か試してみてくれないか?
自分でためせっていわれるとおもおうけど、環境がないのでーす。
実はまったく同じくAUで使えるやつさがしてました。
グループウェア用だから安いのっておもってて
trustlogoでいいかなー、とおもっていたら
http://www.positivessl.com/
ってのをみつけたよ。誰か試してみてくれないか?
自分でためせっていわれるとおもおうけど、環境がないのでーす。
>356
これToritonとほぼ同じだろう。ルートCAも同じCOMODOだし。
なし = Positive SSL($14.90)
Toriton SSL($79.95) = INSTANT SSL($79.95)
Positive SSLは保険がないなど、多少見劣りがしそうでは
あるが、自宅鯖には関係ない罠.
ちなみにこのサイトのInternationalを見てみると、日本は
Toriton Inc. http://www.trustlogo.co.jp/ が代理店だとさ。
道理で同じわけだ。
そういう訳で、人柱キボン。
#漏れの所はもうSSL使っているので、お試しができないんだよ。
これToritonとほぼ同じだろう。ルートCAも同じCOMODOだし。
なし = Positive SSL($14.90)
Toriton SSL($79.95) = INSTANT SSL($79.95)
Positive SSLは保険がないなど、多少見劣りがしそうでは
あるが、自宅鯖には関係ない罠.
ちなみにこのサイトのInternationalを見てみると、日本は
Toriton Inc. http://www.trustlogo.co.jp/ が代理店だとさ。
道理で同じわけだ。
そういう訳で、人柱キボン。
#漏れの所はもうSSL使っているので、お試しができないんだよ。
結論からいうとNGですた。
LiteSSL CA ってのの発行になる。
ブラウザでは問題なかったけどAUではダメだった。
LiteSSL CA ってのの発行になる。
ブラウザでは問題なかったけどAUではダメだった。
>>358
BLADE
http://www.blade-ntt.com/SecurePassport/index.html
livedoor SSL
http://secure.livedoor.com/
BLADE
http://www.blade-ntt.com/SecurePassport/index.html
livedoor SSL
http://secure.livedoor.com/
>359
Thanks.
>360
なかなか親切な香具師だな(W
Thanks.
>360
なかなか親切な香具師だな(W
待ってくれれば既に去年にlitessl.comだった時に試した香具師がここに居たのに…
RootCAはUTN - USERFirst-Hardwareな
RootCAはUTN - USERFirst-Hardwareな
>363
値段は調べたのか?
ま、業務用としては安い方かもしれん。
値段は調べたのか?
ま、業務用としては安い方かもしれん。
6万じゃないの?税込みで63000円。業務用だから、このくらいの価格は問題なし。
すまんが、誰か教えてくれ。
AUでSSLしたくて安いところを探してました。
で、positivesslをテストしたけど、AUでははじかれた。
発行者はlitesslってところだったから、そのせいかな、とおもってた。
trustlogoと同じcomodoだから大丈夫!とおもってたので不思議だったんだけど
comodoってのはルート証明書ってのは、どっかのを使うようになっていて
trustlogoはたまたまAUの携帯でも使える認証局のものをつかってるから
使えるっていう理解でいいんでしょうか?
だとしたらAUで使えるルート認証局をつかっててcomodoでサービスしてる
安いところを探せばおっけー?
AUでSSLしたくて安いところを探してました。
で、positivesslをテストしたけど、AUでははじかれた。
発行者はlitesslってところだったから、そのせいかな、とおもってた。
trustlogoと同じcomodoだから大丈夫!とおもってたので不思議だったんだけど
comodoってのはルート証明書ってのは、どっかのを使うようになっていて
trustlogoはたまたまAUの携帯でも使える認証局のものをつかってるから
使えるっていう理解でいいんでしょうか?
だとしたらAUで使えるルート認証局をつかっててcomodoでサービスしてる
安いところを探せばおっけー?
すまんが、誰か教えてくれ。
AUでSSLしたくて安いところを探してました。
で、positivesslをテストしたけど、AUでははじかれた。
発行者はlitesslってところだったから、そのせいかな、とおもってた。
trustlogoと同じcomodoだから大丈夫!とおもってたので不思議だったんだけど
comodoってのはルート証明書ってのは、どっかのを使うようになっていて
trustlogoはたまたまAUの携帯でも使える認証局のものをつかってるから
使えるっていう理解でいいんでしょうか?
だとしたらAUで使えるルート認証局をつかっててcomodoでサービスしてる
安いところを探せばおっけー?
AUでSSLしたくて安いところを探してました。
で、positivesslをテストしたけど、AUでははじかれた。
発行者はlitesslってところだったから、そのせいかな、とおもってた。
trustlogoと同じcomodoだから大丈夫!とおもってたので不思議だったんだけど
comodoってのはルート証明書ってのは、どっかのを使うようになっていて
trustlogoはたまたまAUの携帯でも使える認証局のものをつかってるから
使えるっていう理解でいいんでしょうか?
だとしたらAUで使えるルート認証局をつかっててcomodoでサービスしてる
安いところを探せばおっけー?
連続投稿しちゃった、すまそ。
調べたら記述があった。
従来 COMODO の証明書は GTE CyberTrust root が用いられていました。
この証明書は携帯電話・PHS にも導入されている機種が多く、
携帯電話・PHS 向けの運用にもご利用いただける証明書としてご利用いただきましたが、
2005年秋よりルート証明書 AddTrust/UTN root へ変更となりました。
GTE CyberTrust root を用いた証明書は
「携帯電話・PHS対応版」と記載された証明書でご利用いただけます
http://ssl.jp/cert
いまから申し込んでも駄目なのかなぁ・・・
調べたら記述があった。
従来 COMODO の証明書は GTE CyberTrust root が用いられていました。
この証明書は携帯電話・PHS にも導入されている機種が多く、
携帯電話・PHS 向けの運用にもご利用いただける証明書としてご利用いただきましたが、
2005年秋よりルート証明書 AddTrust/UTN root へ変更となりました。
GTE CyberTrust root を用いた証明書は
「携帯電話・PHS対応版」と記載された証明書でご利用いただけます
http://ssl.jp/cert
いまから申し込んでも駄目なのかなぁ・・・
>368
その情報、かなり誤解(?曲解、嘘?)が含まれていると思われ。
「激安証明書は、root CAがAddTrust/UTNrootなので日本の携帯では使えません」
と言いたいだけだろう。
www.trustlogo.co.jp(Triton, Inc.)で今年の8月に買った証明書
(Triton,Inc SSL 8,300円/年)は、ちゃんとAU携帯で使えるよ.
その情報、かなり誤解(?曲解、嘘?)が含まれていると思われ。
「激安証明書は、root CAがAddTrust/UTNrootなので日本の携帯では使えません」
と言いたいだけだろう。
www.trustlogo.co.jp(Triton, Inc.)で今年の8月に買った証明書
(Triton,Inc SSL 8,300円/年)は、ちゃんとAU携帯で使えるよ.
trustlogoで申し込むといろいろと書類出せといわれるみたいだけど
positivesslだと言われない?
positivesslだと言われない?
日本コモドがUTNのrootに変えるみたいなんだけど。
http://www.comodojapan.com/20060906.html
http://www.comodojapan.com/20060906.html
>371
Enterprise SSLだけだろ?当面関係ないと思われ。
携帯相手の商売をやってる会社は困るかもしれんが。
Enterprise SSLだけだろ?当面関係ないと思われ。
携帯相手の商売をやってる会社は困るかもしれんが。
373 :DNS未登録さん:2006/09/13(水) 12:39:36 ID:t+5oXWbo
>379
ぐえ、3年契約にしておけばよかった...orz
...今からでも遅くはないか?
ぐえ、3年契約にしておけばよかった...orz
...今からでも遅くはないか?
trustlogって長期で契約すると損するよ。
1年 8300円 79.95ドル
2年14300円 99.95ドル
3年19700円139.95ドル
明らかにぼったくり。1年んから2年で20ドルしか増えてないのに6000円も増えてる(笑
携帯で使えなくなったらrapidsslでも使った方がよっぽどまし。
1年 8300円 79.95ドル
2年14300円 99.95ドル
3年19700円139.95ドル
明らかにぼったくり。1年んから2年で20ドルしか増えてないのに6000円も増えてる(笑
携帯で使えなくなったらrapidsslでも使った方がよっぽどまし。
>375
ボッタクリでも使えなくなるよりはマシ。
日本円での割引が少ないだけだろ。
今月中ならまだrootがGTE CyberTrustの証明書が来るんだろ?
簡単に証明書を出すアホCAが増えたせいで、CAの正当性が危機に
瀕しているんだよ.今回の件はCoMoDo社がそういう困った会社
だと見なされて、CyberTrust社から契約切られたんだろう.
3年契約しておいて、3年後に期限が切れたらその時に考えようと.
3年もあれば、その時の証明書の値段に見合うサービスになっている
かどうか、判断して決めれば良いこと。
ボッタクリでも使えなくなるよりはマシ。
日本円での割引が少ないだけだろ。
今月中ならまだrootがGTE CyberTrustの証明書が来るんだろ?
簡単に証明書を出すアホCAが増えたせいで、CAの正当性が危機に
瀕しているんだよ.今回の件はCoMoDo社がそういう困った会社
だと見なされて、CyberTrust社から契約切られたんだろう.
3年契約しておいて、3年後に期限が切れたらその時に考えようと.
3年もあれば、その時の証明書の値段に見合うサービスになっている
かどうか、判断して決めれば良いこと。
8月頭に1年有効な証明書を買ったが、これ知ったのは返金補償
の30日を過ぎた後.当然文句を言ったが、どうにもならない。
契約は契約なので、仕方なく別FQDNで9/15に申し込んだ。9/20
に送られてきた証明書はまだrootがGTE CyberTrustのままで、
au携帯(W32H)で問題なく使える.
もし来年までにTritonの証明書が携帯各社に採用されているroot
証明書に乗換えられたら、まぁ笑ってくれ.
ssl.jpのページによれば、他のroot CAに移ると条件が厳しくなる
なるらしいから、無駄にはならんと思う.
http://ssl.jp/
しかしssl.jpが代替手段として勧めているD-U-N-S Numberって
何の事かと思ったら、こんなアホ臭いサービスらしい:
http://www.dnb.co.jp/
我々が求めているのは携帯と安全にSSL/TLS通信がやりたいので
あって、企業の格付けとは無関係なのだが。頭弱いね>ssl.jp
の30日を過ぎた後.当然文句を言ったが、どうにもならない。
契約は契約なので、仕方なく別FQDNで9/15に申し込んだ。9/20
に送られてきた証明書はまだrootがGTE CyberTrustのままで、
au携帯(W32H)で問題なく使える.
もし来年までにTritonの証明書が携帯各社に採用されているroot
証明書に乗換えられたら、まぁ笑ってくれ.
ssl.jpのページによれば、他のroot CAに移ると条件が厳しくなる
なるらしいから、無駄にはならんと思う.
http://ssl.jp/
しかしssl.jpが代替手段として勧めているD-U-N-S Numberって
何の事かと思ったら、こんなアホ臭いサービスらしい:
http://www.dnb.co.jp/
我々が求めているのは携帯と安全にSSL/TLS通信がやりたいので
あって、企業の格付けとは無関係なのだが。頭弱いね>ssl.jp
Digitrustは、一応まだ大丈夫らしい:
https://www.digitrust.jp/environment.html
対応端末:
携帯電話 GTE Cyber Trust Rootのルート証明書が取り組まれている端末
値段がイマイチ高いのが難だが、ここが最後の砦になるかもしれん。
https://www.digitrust.jp/environment.html
対応端末:
携帯電話 GTE Cyber Trust Rootのルート証明書が取り組まれている端末
値段がイマイチ高いのが難だが、ここが最後の砦になるかもしれん。
>>376
まともの会社なら、こういう会社は使わないよ。
個人とか相手にしてるからこういうおかしな価格設定通用するんだろうね。
あるいは担当者が間抜けなのか。
>>378
良い情報ありがとう。
PDA Phoneが増えれば解決するかもしれないけどねぇ・・・。
まともの会社なら、こういう会社は使わないよ。
個人とか相手にしてるからこういうおかしな価格設定通用するんだろうね。
あるいは担当者が間抜けなのか。
>>378
良い情報ありがとう。
PDA Phoneが増えれば解決するかもしれないけどねぇ・・・。
>379
発行された証明書は、余程の事が無い限り有効期限まで
有効である事が保証されている.だから駆け込みで3年契約した訳.
#Digitrustよりよっぽど安いし、Digitrustの証明書のroot CAが
後3年間変わらないという保証もないし。
発行された証明書は、余程の事が無い限り有効期限まで
有効である事が保証されている.だから駆け込みで3年契約した訳.
#Digitrustよりよっぽど安いし、Digitrustの証明書のroot CAが
後3年間変わらないという保証もないし。
381 :37[678] 380:2006/09/22(金) 14:00:13 ID:???
#>380は途中で送ってしまった。申し訳ない.
>> 379
> まともの会社なら、こういう会社は使わないよ。
> 個人とか相手にしてるからこういうおかしな価格設定通用するんだろうね。
> あるいは担当者が間抜けなのか。
こういう安いCAは、当然個人やSOHO、小規模企業を相手にしているのだから、
特に問題は感じないが.「おかしな価格設定」ってよくわからんのだが。
>>375 の事かな?
各契約のドル換算レートが以下のようになっている事を問題にしている?
1年:$1.00 = ¥103.81
2年:$1.00 = ¥143.07
3年:$1.00 = ¥140.76
まぁ確かに下手糞な値段設定だとは思うが、US$で発生する費用と、JP¥
で発生する費用があるから、こうなる事もあるだろう.1年契約をわざと
安くしておく戦略価格なのかもしれない.
ここ印鑑証明まで要求してくるから、手続きが面倒なんだよね。
だからそれくらいなら...と3年契約に誘導しているのではないかな?
>> 379
> まともの会社なら、こういう会社は使わないよ。
> 個人とか相手にしてるからこういうおかしな価格設定通用するんだろうね。
> あるいは担当者が間抜けなのか。
こういう安いCAは、当然個人やSOHO、小規模企業を相手にしているのだから、
特に問題は感じないが.「おかしな価格設定」ってよくわからんのだが。
>>375 の事かな?
各契約のドル換算レートが以下のようになっている事を問題にしている?
1年:$1.00 = ¥103.81
2年:$1.00 = ¥143.07
3年:$1.00 = ¥140.76
まぁ確かに下手糞な値段設定だとは思うが、US$で発生する費用と、JP¥
で発生する費用があるから、こうなる事もあるだろう.1年契約をわざと
安くしておく戦略価格なのかもしれない.
ここ印鑑証明まで要求してくるから、手続きが面倒なんだよね。
だからそれくらいなら...と3年契約に誘導しているのではないかな?
>>378
COMODOとCyberTrustが契約解消した以上ここもそろそろアナウンス出しそうだけどね。
Toritonのが12月に切れるから早めに新しく買っておくかなぁ。
個人相手にGTE出してくれる良いとこだったのに。
COMODOとCyberTrustが契約解消した以上ここもそろそろアナウンス出しそうだけどね。
Toritonのが12月に切れるから早めに新しく買っておくかなぁ。
個人相手にGTE出してくれる良いとこだったのに。
digitrust よりさらに高いけど NetworkSolutions 系列:
http://w3lab.org/index.html
GTE CyberTrust Global Root からたどれるのって Comodo と NSI 以外に
他はどこがあるの?
http://w3lab.org/index.html
GTE CyberTrust Global Root からたどれるのって Comodo と NSI 以外に
他はどこがあるの?
384 :DNS未登録さん:2006/09/27(水) 03:34:03 ID:RETEZ/YC
DigiTrustから連絡が来たが.... To: に客全員と思われるメールアドレスが
ならんどる(-_-###
予告もせずにこの有様では、終わっているなこの会社。
ならんどる(-_-###
予告もせずにこの有様では、終わっているなこの会社。
ttp://www.netsolssl.com/repository/practice_statement.html
> Network Solutions relies on BeTrusted (www.betrusted.com - AICPA/CICA WebTrust
> Program for Certification Authorities approved security provider) for its Root CA Certificate for
> Digital Certificates issued on or before July 20, 2006, and UTN-USERFIRST-Hardware and
> AddTrust External CA Root for its Root CA Certificates for Digital Certificates issued after July 20, 2006.
> Network Solutions relies on BeTrusted (www.betrusted.com - AICPA/CICA WebTrust
> Program for Certification Authorities approved security provider) for its Root CA Certificate for
> Digital Certificates issued on or before July 20, 2006, and UTN-USERFIRST-Hardware and
> AddTrust External CA Root for its Root CA Certificates for Digital Certificates issued after July 20, 2006.
pass phraseの変更ってどうやるんですか?
すごく初歩的な質問ですみません。
httpsであれば「必ず」クライアント証明書かサーバ証明書のどちらかが使用されますか?
逆に、クライアント証明書かサーバ証明書のどちらかを使用した通信は「必ず」httpsですか?
httpsであれば「必ず」クライアント証明書かサーバ証明書のどちらかが使用されますか?
逆に、クライアント証明書かサーバ証明書のどちらかを使用した通信は「必ず」httpsですか?
389 :DNS未登録さん:2006/10/22(日) 15:02:17 ID:6r1jqfC1
ttp://www.trustlogo.co.jp/press_center/2006_10.htm
> 先日、ご案内させていただきましたroot証明書変更に関しまして、
> UTNroot からEntrust Secure Server CA. に変更が決定されましたので
> ご報告させていただきます。
Entrust なら au と SoftBank の端末には入ってるね。
> 先日、ご案内させていただきましたroot証明書変更に関しまして、
> UTNroot からEntrust Secure Server CA. に変更が決定されましたので
> ご報告させていただきます。
Entrust なら au と SoftBank の端末には入ってるね。
390 :DNS未登録さん:2006/10/25(水) 11:55:54 ID:Eh9ffwed
このスレマッハおもすれー(・∀・)
>>392
サーバ台数無制限ではないみたい、、、
サーバ台数無制限ではないみたい、、、
ここより安いところある?
RapidSSL $14.95
QuickSSL $49.00
QuickSSL Premium $94.00
EV1Servers
http://www.ev1servers.net/Dedicated/DomainsAndSSL.aspx
RapidSSL $14.95
QuickSSL $49.00
QuickSSL Premium $94.00
EV1Servers
http://www.ev1servers.net/Dedicated/DomainsAndSSL.aspx
398 :DNS未登録さん:2006/11/06(月) 10:41:04 ID:ptqHr+8h
ベリサインに認証されたaaa.comというドメインがあったとして、
その証明書がインストールされたサーバを新たな認証局として
別のbbb.comというドメインを認証する事は可能?
ベリサイン
↓
aaa.com
↓
bbb.com
bbb.comのルート認証局はベリサインになるから、ブラウザでも
警告出ないような気がするんだけど…
その証明書がインストールされたサーバを新たな認証局として
別のbbb.comというドメインを認証する事は可能?
ベリサイン
↓
aaa.com
↓
bbb.com
bbb.comのルート認証局はベリサインになるから、ブラウザでも
警告出ないような気がするんだけど…
>339
不可能.それができるなら、偽証明書が簡単に作れるではないか。
> bbb.comのルート認証局はベリサインになる
ができない事を自分で調べたら理解できると思う.
不可能.それができるなら、偽証明書が簡単に作れるではないか。
> bbb.comのルート認証局はベリサインになる
ができない事を自分で調べたら理解できると思う.
Chain証明はChainする中間証明書がその用途に発行されてなければいけない。
Subject TypeがCAを持ってないなら駄目。というかそんなのはEnd Entity証明書とは
全く違うもの。
Subject TypeがCAを持ってないなら駄目。というかそんなのはEnd Entity証明書とは
全く違うもの。
RapidSSLの再発行って、レンタルサーバを変えた時にも有効ですか?
>>401
有効でつ。
有効でつ。
>>402
ありがとうございます。安心して買います
ありがとうございます。安心して買います
http://w3lab.org/index.html
もGTE CyberTrust Global Root からUTNに変わってしもうた orz
他に
GTE CyberTrust Global Root で出してもらえる場所ってないの?
もGTE CyberTrust Global Root からUTNに変わってしもうた orz
他に
GTE CyberTrust Global Root で出してもらえる場所ってないの?
TritonはUTN止めた。
ttp://www.trustlogo.co.jp/press_center/2006_10.htm
UTNroot からEntrust Secure Server CA. に変更
Digitrustも止めた。
ttp://www.m-t.com/faq/
今後発行される証明書に関してはEntrustルート証明書での発行となります。
共に「日本市場における携帯電話向けの需要」のために、なんとか
したらしい。
手元のau W32Hには、それらしいルート証明書が入っている.
--
バージョン: 3
シリアル番号: 374AD243
署名アルゴリズム:sha1WithRSAEncryption
発行者:
/C=US
/O=Entrust.net
/OU=www.entrust.net/CPS incorp. by ref. (limitsliab.)
/OU=(c) 1999 Entrust.net Limited
/CN=Entrust.net Secure Server Certification Authority
発効日:05/25/99 16:09:40
有効期限:05/25/19 16:39:40
件名:
/C=US
/O=Entrust.net
/OU=www.entrust.net/CPS incorp. by ref. (limitsliab.)
/OU=(c) 1999 Entrust.net Limited
/CN=Entrust.net Secure Server Certification Authority
公開鍵:(略)
---
https://www.trustlogo.co.jp/i/にアクセスしてみた所、
ルートがEntrust.netの証明書で正常にアクセスできたよ。
他の機種でどうなっているかはわからんけど、一例として
ご参考まで.
ttp://www.trustlogo.co.jp/press_center/2006_10.htm
UTNroot からEntrust Secure Server CA. に変更
Digitrustも止めた。
ttp://www.m-t.com/faq/
今後発行される証明書に関してはEntrustルート証明書での発行となります。
共に「日本市場における携帯電話向けの需要」のために、なんとか
したらしい。
手元のau W32Hには、それらしいルート証明書が入っている.
--
バージョン: 3
シリアル番号: 374AD243
署名アルゴリズム:sha1WithRSAEncryption
発行者:
/C=US
/O=Entrust.net
/OU=www.entrust.net/CPS incorp. by ref. (limitsliab.)
/OU=(c) 1999 Entrust.net Limited
/CN=Entrust.net Secure Server Certification Authority
発効日:05/25/99 16:09:40
有効期限:05/25/19 16:39:40
件名:
/C=US
/O=Entrust.net
/OU=www.entrust.net/CPS incorp. by ref. (limitsliab.)
/OU=(c) 1999 Entrust.net Limited
/CN=Entrust.net Secure Server Certification Authority
公開鍵:(略)
---
https://www.trustlogo.co.jp/i/にアクセスしてみた所、
ルートがEntrust.netの証明書で正常にアクセスできたよ。
他の機種でどうなっているかはわからんけど、一例として
ご参考まで.
ついでにPCでも追試してみた。
・Win2K (MS Updateで最新状態のはず)
Firefox 1.5.0.8 - OK
IE6(6.0.2800.1106) - OK
Opera 8.51 - OK
・FreeBSD 6-STABLE
Firefox 1.5.0.7 - OK
・MacOS X Tiger(10.4.8)
Firefox 1.5.0.8 - OK
Opera 9.02 - OK
Safari 2.0.4(419.3) - OK
・Sharp Linux Zaurus C-3200
NetFront v3.1 - OK
ただし、root CAの証明書は見えない)
・Win2K (MS Updateで最新状態のはず)
Firefox 1.5.0.8 - OK
IE6(6.0.2800.1106) - OK
Opera 8.51 - OK
・FreeBSD 6-STABLE
Firefox 1.5.0.7 - OK
・MacOS X Tiger(10.4.8)
Firefox 1.5.0.8 - OK
Opera 9.02 - OK
Safari 2.0.4(419.3) - OK
・Sharp Linux Zaurus C-3200
NetFront v3.1 - OK
ただし、root CAの証明書は見えない)
>406
間違えて編集途中で送ってしまった.すまぬ.
リナザウC-3200付属のNetFront v3.1では、正常に表示されるのだけど、
確認できる証明書が接続先のサーバ証明書のみで、上位のCAの証明書
が確認できないようだ。
間違えて編集途中で送ってしまった.すまぬ.
リナザウC-3200付属のNetFront v3.1では、正常に表示されるのだけど、
確認できる証明書が接続先のサーバ証明書のみで、上位のCAの証明書
が確認できないようだ。
UTN
使えねー
ドコモ
Entrust Secure Server CA
なんで今までいれねーんだ
使えねー
ドコモ
Entrust Secure Server CA
なんで今までいれねーんだ
結局の所、ベリサイン以外は使い物にならないって事ですね。
410 :DNS未登録さん:2006/12/09(土) 09:33:04 ID:7HJZc7J3
長嶋さんのセコムはGTE cyber trustだって!!
電話して聞いてみたらそういわれたよ。
でも年間68000円だそうな。
っていうかベリとあんまりカワンネー
高いorz
ベリサリン値下げしろ!!
そして
ドコモ
Entrust Secure Server CA
各端末に入れろ!!
電話して聞いてみたらそういわれたよ。
でも年間68000円だそうな。
っていうかベリとあんまりカワンネー
高いorz
ベリサリン値下げしろ!!
そして
ドコモ
Entrust Secure Server CA
各端末に入れろ!!
RapidSSLのルートCA、いつからEquifaxに変わったんだろ?
ttps://www.rapidssl.com/test/rapidssl.htm
昔はUSERTRUSTがルートCAに使われていて、携帯じゃ使い物にならなかったけど
Equifaxならだいぶマシになるかな?
ttps://www.rapidssl.com/test/rapidssl.htm
昔はUSERTRUSTがルートCAに使われていて、携帯じゃ使い物にならなかったけど
Equifaxならだいぶマシになるかな?
質問させてください。
SSL購入を考えています。
購入した場合、どういった手順で導入したらいいのでしょうか?
まったくわからないので、簡単に教えていただけるとうれしいです。
よろしくお願いします。
SSL購入を考えています。
購入した場合、どういった手順で導入したらいいのでしょうか?
まったくわからないので、簡単に教えていただけるとうれしいです。
よろしくお願いします。
勉強する気あんのか。糞野郎。
ショッピングサイト作ったんだけど
SSL導入しないで販売することできるの?
SSL導入しないで販売することできるの?
入力内容によるけど
個人情報をちょっとでも入れるのならSSLが無いとこでは買わない
個人情報をちょっとでも入れるのならSSLが無いとこでは買わない
SSLがない事により漏れるリスクより、ショップ側の管理の杜撰さで
漏れるリスクの方が高い気がする今日のこの頃。
うちの会社、顧客のカード番号、パスワードとか普通に紙にメモるし、
顧客情報、注文情報は社員のPCに普通にコピーするし、
その後、削除されたかどうかもわからない。全く個人情報管理ができてない。
サイトにはベリサインで安全です!ってシール貼っているけど、見かけだけw
漏れるリスクの方が高い気がする今日のこの頃。
うちの会社、顧客のカード番号、パスワードとか普通に紙にメモるし、
顧客情報、注文情報は社員のPCに普通にコピーするし、
その後、削除されたかどうかもわからない。全く個人情報管理ができてない。
サイトにはベリサインで安全です!ってシール貼っているけど、見かけだけw
<<413
WEBサーバーからCSRを作成します。
SSL証明書を作ってくれる会社の申込書に
CSRを貼り付けます。
その会社から証明書がメールとかでくるから
webサーバーに取り込む
WEBサーバーを再起動
以上です。
WEBサーバーからCSRを作成します。
SSL証明書を作ってくれる会社の申込書に
CSRを貼り付けます。
その会社から証明書がメールとかでくるから
webサーバーに取り込む
WEBサーバーを再起動
以上です。
実際SSLってそんなに重要じゃないよね
YahooJapanのトップページから右のメニューの「メール」をクリックすると
IDとパスワード入力するページがデフォルトでhttpモードだし。
ほとんどの人はSSLモード使ってないでしょうね。
クレジット情報はやばいかもしれないけど名前や住所くらいならSSL使う必要まったくない。
SSL関連企業の金儲けの道具にすぎないね。
YahooJapanのトップページから右のメニューの「メール」をクリックすると
IDとパスワード入力するページがデフォルトでhttpモードだし。
ほとんどの人はSSLモード使ってないでしょうね。
クレジット情報はやばいかもしれないけど名前や住所くらいならSSL使う必要まったくない。
SSL関連企業の金儲けの道具にすぎないね。
>>421
個人情報を厳密に管理しているということ (アクセス制御の正当性) と、
トランスポートにSSL暗号化を使っているということ (意図しない情報漏洩の排除) は
全く無関係なもののはずなのに、なぜか一般的にはごっちゃにされているというのが
悲しいところ。
そう言う意味では
> SSL関連企業の金儲けの道具にすぎない
という主張も正しいと思われ。
# っていうか自宅サーバ板のネタではないよな
個人情報を厳密に管理しているということ (アクセス制御の正当性) と、
トランスポートにSSL暗号化を使っているということ (意図しない情報漏洩の排除) は
全く無関係なもののはずなのに、なぜか一般的にはごっちゃにされているというのが
悲しいところ。
そう言う意味では
> SSL関連企業の金儲けの道具にすぎない
という主張も正しいと思われ。
# っていうか自宅サーバ板のネタではないよな
少なくともproxy使ってる場合、通信内容はproxy管理者にはダダ漏れ
>>422
SSLを使っていなかったり、ちゃんとした認証局を使っていないSSL通信では
外部から覗き見ができるので、
当然ながらそこから個人情報も漏れる可能性がある。
従って厳密管理が最初から出来ていない事となる。
SSLを使っていなかったり、ちゃんとした認証局を使っていないSSL通信では
外部から覗き見ができるので、
当然ながらそこから個人情報も漏れる可能性がある。
従って厳密管理が最初から出来ていない事となる。
メールに個人情報書かれてたら意味無し
SSL/TLS入れればよいと言うのは間違いだが、SSL/TLSすらないweb
サイトで金を扱うなんてのは非常識.
SSLなんてあって当然で、その上でいかに顧客の個人情報を守るか
という工夫をしないとね。課金ASPにリダイレクトして、自社では
最低限度必要な情報のみ扱うというのが原則だろう。
直接カード会社(or CAFIS?)と取引できるとしても、この原則は
変わらない.
サイトで金を扱うなんてのは非常識.
SSLなんてあって当然で、その上でいかに顧客の個人情報を守るか
という工夫をしないとね。課金ASPにリダイレクトして、自社では
最低限度必要な情報のみ扱うというのが原則だろう。
直接カード会社(or CAFIS?)と取引できるとしても、この原則は
変わらない.
必要条件と十分条件の区別が付かないクズが多数いる模様
>>428
オレオレ証明書はその証明書を渡す手段が問題。
渡すのにちゃんとした証明のあるSSLが必要。
第一不特定多数或いはお客様にこの証明書をインストールしてくれなんて言えない。
IEで警告で、OK押してしまうなら423が書いているようにproxyでもれもれ。
オレオレ証明書はその証明書を渡す手段が問題。
渡すのにちゃんとした証明のあるSSLが必要。
第一不特定多数或いはお客様にこの証明書をインストールしてくれなんて言えない。
IEで警告で、OK押してしまうなら423が書いているようにproxyでもれもれ。
いや、だからその証明書を証明してくれるCA鯖がオレオレかどうか
どうやって確認すんの。
どうやって確認すんの。
>Verisign発行の証明書だろうとオレオレ証明書だろうと暗号強度に変わりはないだろ
>のぞき見できるというならそれこそSSLの根幹に関わる問題
オレオレ証明書では通信相手がニセモノだったとしてもそれを検知できない。
ちゃんとした CA から発行されたものならば可能。
>>428は A と B の間の通信経路上に C が入りこんで中身を覗くという感じで
イメージしてるんじゃないかと思うが、そうじゃなくて、
B と通信してると思ったら実は C だった(でもそれに気がつかない)、
というのが「他人が覗き見ることができる」ということ。
オレオレ証明でも暗号強度に変わりはないのは事実だが、
相手がホンモノであると確認せず、B と通信してるつもりで
赤の他人の C と強固な暗号通信してるようじゃまったく無意味。
>のぞき見できるというならそれこそSSLの根幹に関わる問題
オレオレ証明書では通信相手がニセモノだったとしてもそれを検知できない。
ちゃんとした CA から発行されたものならば可能。
>>428は A と B の間の通信経路上に C が入りこんで中身を覗くという感じで
イメージしてるんじゃないかと思うが、そうじゃなくて、
B と通信してると思ったら実は C だった(でもそれに気がつかない)、
というのが「他人が覗き見ることができる」ということ。
オレオレ証明でも暗号強度に変わりはないのは事実だが、
相手がホンモノであると確認せず、B と通信してるつもりで
赤の他人の C と強固な暗号通信してるようじゃまったく無意味。
FingerPrintというのがあってだな。
というか、政府系だと、官報にフィンガープリントを載せて、それとオレオレ証明書の
フィンガープリントが一致するか確かめろ、と書いてある。国土交通省とかがそうだな。
外国の一私企業の信用の担保<自国政府の発行物の信用の担保 ということだろうし、
それは正しいとは思うが、まあ一般人には理解しづらいだろうな。
だからCAはMSとネゴって政府がやれば良いんだよ。
というか、政府系だと、官報にフィンガープリントを載せて、それとオレオレ証明書の
フィンガープリントが一致するか確かめろ、と書いてある。国土交通省とかがそうだな。
外国の一私企業の信用の担保<自国政府の発行物の信用の担保 ということだろうし、
それは正しいとは思うが、まあ一般人には理解しづらいだろうな。
だからCAはMSとネゴって政府がやれば良いんだよ。
既に>>433が書いてくれてるが一応書いとく
>>432
そのつもりで書いてたわけだが、証明書を一意に識別する方法があるんだからそれを使えばいいだけ
実際、俺は自宅鯖にアクセスする際にはメモってるオレオレCAの拇印と照合して安全を担保してる
それ無しでというなら確かにオレオレ証明書は安全性に問題有りだろうな
>>432
そのつもりで書いてたわけだが、証明書を一意に識別する方法があるんだからそれを使えばいいだけ
実際、俺は自宅鯖にアクセスする際にはメモってるオレオレCAの拇印と照合して安全を担保してる
それ無しでというなら確かにオレオレ証明書は安全性に問題有りだろうな
オンライン以外で、証明書の正当性を確保する術を持っているのならば
オレオレ証明書で十分なんだろうな。(手間の問題は一旦おいておく)
政府の官報しかり、>>435 の場合アクセスするのが自分だけなので
自分がメモを持ち歩けばいい。
対面したことのある相手なのであれば、名刺に書いておくなんてものいい
んだろうな。
不特定多数を相手にしようとすると、方法が無いわけではないが
とたんに面倒なことになるし、>>436 の問題もある。
(特定少数であれば、極端な話、自分で証明書をインストールして
まわればいい)
ということで大抵のやつは金で解決するのが簡単なので、スレタイと。
オレオレ証明書で十分なんだろうな。(手間の問題は一旦おいておく)
政府の官報しかり、>>435 の場合アクセスするのが自分だけなので
自分がメモを持ち歩けばいい。
対面したことのある相手なのであれば、名刺に書いておくなんてものいい
んだろうな。
不特定多数を相手にしようとすると、方法が無いわけではないが
とたんに面倒なことになるし、>>436 の問題もある。
(特定少数であれば、極端な話、自分で証明書をインストールして
まわればいい)
ということで大抵のやつは金で解決するのが簡単なので、スレタイと。
偽官報が流行るかも
440 :DNS未登録さん:2006/12/14(木) 02:59:13 ID:PYr/tA54
そういや、Microsoft は各 CA からいくら貰ってるんだろ。
さらには、他のフリーのブラウザの場合はどうしてるんだろ。
さらには、他のフリーのブラウザの場合はどうしてるんだろ。
openSSLに入っているpemを使っているんじゃないか
>>441
MicrosoftについてはRoot CAになるための参加プログラムがあって、
それに合格すればWindows Updateでルート鍵を配布してもらえたはず。
直接金をもらうことはなくて、そのプログラムに参加するときの
周辺手続きの手数料(月額でかかるものもある)で稼ぐ構造だな。
Mozillaについては以下。基本的に金を徴収することはなくて、
特定の条件に合致していてコミュニティ内で合意が得られればOKというスタンス。
http://www.mozilla.org/projects/security/pki/nss/ca-certificates/policy.html
MicrosoftについてはRoot CAになるための参加プログラムがあって、
それに合格すればWindows Updateでルート鍵を配布してもらえたはず。
直接金をもらうことはなくて、そのプログラムに参加するときの
周辺手続きの手数料(月額でかかるものもある)で稼ぐ構造だな。
Mozillaについては以下。基本的に金を徴収することはなくて、
特定の条件に合致していてコミュニティ内で合意が得られればOKというスタンス。
http://www.mozilla.org/projects/security/pki/nss/ca-certificates/policy.html
携帯はどうなんだろう?
>>444
携帯電話はキャリア次第だが、基本的にMicrosoft同様審査プログラムがあって、
それに合格すれば載せてもらえたはず。ただWindows Updateみたいに現行の機種に
対して新たに参加したCAを載せることはしないらしいので、合格しても新機種が普及
しきらないとCAがCAとして意味を為さない可能性がある。
中身はいわゆる携帯アプリの審査と同様で、全ては金次第。
金額で審査の早さと不合格時の理由説明が変わるそうな。
携帯電話はキャリア次第だが、基本的にMicrosoft同様審査プログラムがあって、
それに合格すれば載せてもらえたはず。ただWindows Updateみたいに現行の機種に
対して新たに参加したCAを載せることはしないらしいので、合格しても新機種が普及
しきらないとCAがCAとして意味を為さない可能性がある。
中身はいわゆる携帯アプリの審査と同様で、全ては金次第。
金額で審査の早さと不合格時の理由説明が変わるそうな。
みんなOmniRootにこだわってるけど、誰かthawteのSGC SuperCert試した人いない?
RootCAがVerisignになるはずなんだけど。
個人でもとれるけど、証明書類とかがかなり面倒そうなんだよね。。
RootCAがVerisignになるはずなんだけど。
個人でもとれるけど、証明書類とかがかなり面倒そうなんだよね。。
PCでしか閲覧しないサイトを作っています。
セキュリティ警告さえ出なければ良いのですが、ここってどうなんでしょう?
安いけど、サイト構成が嘘くさそう(VeriSign、GeoTrustと混同しそう)なんです・・・
HyperTrust
ttp://www.ssl.ph/hypertrust/contents05.html
ここの証明書使っている方いらっしゃれば情報教えて下さい。
セキュリティ警告さえ出なければ良いのですが、ここってどうなんでしょう?
安いけど、サイト構成が嘘くさそう(VeriSign、GeoTrustと混同しそう)なんです・・・
HyperTrust
ttp://www.ssl.ph/hypertrust/contents05.html
ここの証明書使っている方いらっしゃれば情報教えて下さい。
質問
無料でセキュリティ警告を出さないようにすることってできますか?
無料でセキュリティ警告を出さないようにすることってできますか?
>>450
SSL通信を使わない
SSL通信を使わない
>>448
そんなものですか・・・早まらないで良かった・・・
金は絡んでくるのですが、結局オレオレ証明書でOKになりました。
>>449
調査不足で、Comodoが何なのか分かっていませんでした。
FlySSL安っ・・・しかし、結局オレオr(ry
英語サポートは怖くて手が出ません。
お二人ともレスありがとうございました。
そんなものですか・・・早まらないで良かった・・・
金は絡んでくるのですが、結局オレオレ証明書でOKになりました。
>>449
調査不足で、Comodoが何なのか分かっていませんでした。
FlySSL安っ・・・しかし、結局オレオr(ry
英語サポートは怖くて手が出ません。
お二人ともレスありがとうございました。
>>447
リセラーがHyperBoxじゃん。昔からあるレンサバ屋だ。
証明書自体はComodo UK(つかGlobal)。とくに何も特筆すべき所無しかなぁ。
>>452
金が絡んでるのにオレオレ証明書使われたらウチなら切る。
リセラーがHyperBoxじゃん。昔からあるレンサバ屋だ。
証明書自体はComodo UK(つかGlobal)。とくに何も特筆すべき所無しかなぁ。
>>452
金が絡んでるのにオレオレ証明書使われたらウチなら切る。
ぶっちゃけ一番安い証明書ってどこですか?
Rapid SSL $14.95 かな?
Fly気になるなぁ。
携帯で使えないのか試してみたい気がするんだが
あいにく空いてるIPがない・・・。
携帯で使えないのか試してみたい気がするんだが
あいにく空いてるIPがない・・・。
FlyはComodoにぶら下がってるのでRootはUTN
FlyはComodoにぶら下がってるのでrootはUTNだよ
だよ
あの
フォームなどから送られたデータが見れる見れるってみんな言うけど
実際どうやってみるんですか?
フォームなどから送られたデータが見れる見れるってみんな言うけど
実際どうやってみるんですか?
キーロガー
スニファ
モニターポート
どっかのログ
覗き見
おまえのうわ言
etc...
スニファ
モニターポート
どっかのログ
覗き見
おまえのうわ言
etc...
そのフォームを処理するプログラムが見れないと困るだろうな。
いままでROMってたんですが今回RegisterFlyのFlySSLを取得してみました。。。
結果・・・ブラウザ認識率99%どころの話じゃありませんでした。涙
こちらにミスはなかったと思うのですが、
発行元: ResellerFly Cerificate Services
で、不明な機関の署名になります。
結果・・・ブラウザ認識率99%どころの話じゃありませんでした。涙
こちらにミスはなかったと思うのですが、
発行元: ResellerFly Cerificate Services
で、不明な機関の署名になります。
ゴメンナサイ。訂正です!!
証明書はメールで届くのですが、そのメールにはZip形式のファイルが添付されていて、それに中間証明書と自分の証明書が入ってくるというものでした。
この添付ファイルに気づかなくて・・・。
ということで、IE7では
UTN-USERFirst-Hardware
+ResellerFly Cartificate Service
+(自分のドメイン)
となりました。
Operaでは
AddTrust External CA Root
+UTN-USERFirst-Hardware
+ResellerFly Cartificate Service
+(自分のドメイン)
でした。シングルルートではないですが、ブラウザでは正常に認識されました。
以上報告です。
証明書はメールで届くのですが、そのメールにはZip形式のファイルが添付されていて、それに中間証明書と自分の証明書が入ってくるというものでした。
この添付ファイルに気づかなくて・・・。
ということで、IE7では
UTN-USERFirst-Hardware
+ResellerFly Cartificate Service
+(自分のドメイン)
となりました。
Operaでは
AddTrust External CA Root
+UTN-USERFirst-Hardware
+ResellerFly Cartificate Service
+(自分のドメイン)
でした。シングルルートではないですが、ブラウザでは正常に認識されました。
以上報告です。
UTN -> Fly のChained Rootな証明書だったわけですか。
それならブラウザに警告を出させないための証明書としては十分な効果を発揮しそう。
それならブラウザに警告を出させないための証明書としては十分な効果を発揮しそう。
添付ファイルにもっと早く気づいていれば・・・って感じです。
メールの文面には、中間証明書のファイル名と自分の証明書のファイル名が記載されていたのですが
「そんなファイルないじゃん」と一人で勝手に・・・(笑) たんに見落としていただけでした。
でも無駄にならなくて良かったです。
中間ありの証明書でもブラウザではちゃんと認識してくれますから、それでも良い人は損じゃないかと思いました。
メールの文面には、中間証明書のファイル名と自分の証明書のファイル名が記載されていたのですが
「そんなファイルないじゃん」と一人で勝手に・・・(笑) たんに見落としていただけでした。
でも無駄にならなくて良かったです。
中間ありの証明書でもブラウザではちゃんと認識してくれますから、それでも良い人は損じゃないかと思いました。
Chainedかどうかなんて気にするな。
Root CAさえ合えばok。
Root CAさえ合えばok。
ってことは激安携帯SSLは未だになしってことですか・・・。
あうー。
あうー。
比較的安いところだとRapidSSLあたりになるのかな?
ルート認証局がEquifaxなんで最近の携帯なら大丈夫みたい。
ルート認証局がEquifaxなんで最近の携帯なら大丈夫みたい。
RapidSSLって買った後サポートないから苦情多いみたいだよ。
サポートってなに?
つーか、サポート必要なやつがサーバーの設定するの??
何でも自己解決が鯖管の必須スキルだとおもってたんだけど、今は違うのかな・・・。
つーか、サポート必要なやつがサーバーの設定するの??
何でも自己解決が鯖管の必須スキルだとおもってたんだけど、今は違うのかな・・・。
>475
鯖管といっても色んな香具師がいるからな。
もちろん証明書程度でサポートが必要な香具師は論外だが、残念ながら
現実にはそういう論外な香具師の方が多い。
そういう論外な香具師をなんとか使えるようにするために、webminなどが
あるんだな。
鯖管といっても色んな香具師がいるからな。
もちろん証明書程度でサポートが必要な香具師は論外だが、残念ながら
現実にはそういう論外な香具師の方が多い。
そういう論外な香具師をなんとか使えるようにするために、webminなどが
あるんだな。
477 :DNS未登録さん:2007/02/15(木) 22:20:28 ID:7BQRCPvK
RapidのルートはEquifax Secure Global eBusiness CA-1だったはず。
携帯に入っているのとはまた違うのでアウト
携帯に入っているのとはまた違うのでアウト
SSL関係の本読んでやれば誰でもできる程度のスキルでしょ?
それすらできないって・・・
それすらできないって・・・
480 :DNS未登録さん:2007/02/16(金) 16:05:55 ID:F+oMmIoQ
>>479
だから論外
だから論外
> 478
webminって省力化に効果あるのか?
#マジで知らないから聞いているのだけど。
マニュアル通りにしか動けない香具師に、通常業務を
やらせるためのツールだと認識していたのだが。
webminって省力化に効果あるのか?
#マジで知らないから聞いているのだけど。
マニュアル通りにしか動けない香具師に、通常業務を
やらせるためのツールだと認識していたのだが。
webminはコマンドラインですべて処理できる人が
二日酔いでコンソール見たくないときに使う、っていう感じかな。
正直不親切かつ英語日本語ぐちゃぐちゃだし
たまに翻訳間違ってて逆の意味になってたりと
かなり悲惨な内容だよ。
あれ使って設定できるなら、なんでも設定できると思います。
二日酔いでコンソール見たくないときに使う、っていう感じかな。
正直不親切かつ英語日本語ぐちゃぐちゃだし
たまに翻訳間違ってて逆の意味になってたりと
かなり悲惨な内容だよ。
あれ使って設定できるなら、なんでも設定できると思います。
>482
日本で使い物にならないのは良く分かった。
ただそれは翻訳の問題であって、webminの本質ではないだろう。
誰かが直せばよい訳だけど、webminの翻訳を直したからと言って、
自己満足は得られないし、他人からも尊敬されるより「あ、
webminの人だ(W」と思われそうで嫌だ。仕事でも避けたいな。
かくしてwebminは永遠に使い物にならんのだよね。
日本で使い物にならないのは良く分かった。
ただそれは翻訳の問題であって、webminの本質ではないだろう。
誰かが直せばよい訳だけど、webminの翻訳を直したからと言って、
自己満足は得られないし、他人からも尊敬されるより「あ、
webminの人だ(W」と思われそうで嫌だ。仕事でも避けたいな。
かくしてwebminは永遠に使い物にならんのだよね。
484 :DNS未登録さん:2007/02/21(水) 12:25:30 ID:RfFxHiCZ
どこで聞けばいいのかわからなかったので、
スレ違いかもしれませんが宜しくお願いします。
SSLが利用可能なサーバ(Xrea)を使用しているのですが、
フォームメール(メールを送るcgi)のページを、
IEの右下に鍵がついてる状態にすれば、安全に通信ができるのでしょうか?
たいした内容が送られてくるわけではないですが、
使えるなら使いたいなと思っています。
スレ違いかもしれませんが宜しくお願いします。
SSLが利用可能なサーバ(Xrea)を使用しているのですが、
フォームメール(メールを送るcgi)のページを、
IEの右下に鍵がついてる状態にすれば、安全に通信ができるのでしょうか?
たいした内容が送られてくるわけではないですが、
使えるなら使いたいなと思っています。
SSLも知らない馬鹿は使うな
つか、ググレ
つか、ググレ
そうするとメールもSSLで誰にも内容等が途中で覗かれる心配なく自分の手元に来るとでも思ってんじゃないか。
487 :DNS未登録さん:2007/02/21(水) 17:00:21 ID:RfFxHiCZ
見当外れもいいところ。
本を読むか、くだ質スレでエスパーキラーの降臨を待て。
取りあえずこのスレでは聞かないのがおまいのためだ。
本を読むか、くだ質スレでエスパーキラーの降臨を待て。
取りあえずこのスレでは聞かないのがおまいのためだ。
スレ検索で来ました。なかなかSSLに関するスレってないのですね。
貧弱ベンチャーなんでやっすい証明書を探していたのですが、
おかげさまで最安と思われるRegisterFlyに特攻できます。
では、逝ってきます…
貧弱ベンチャーなんでやっすい証明書を探していたのですが、
おかげさまで最安と思われるRegisterFlyに特攻できます。
では、逝ってきます…
>>490
それはドメインであってSSLには影響しないのでは?
それはドメインであってSSLには影響しないのでは?
>491
eNomからreseller契約を切られたと書いてあるから、当然
証明書もNGだろう。そもそも電話もメールも届かない時点で、
マトモに業務をやっているはずが無い。
eNomからreseller契約を切られたと書いてあるから、当然
証明書もNGだろう。そもそも電話もメールも届かない時点で、
マトモに業務をやっているはずが無い。
UTNの評判が悪いところ申し訳ないが、
仕事のメールに
UTN-USERFirst-Client Authentication and Email
の証明書(無料)を使ってるんだけど、何か問題あるのか?
今のところ、長らく WindowsUpdate をしていないであろう人から
「ドクロが出た」との報は受けたが、その1件だけ
仕事のメールに
UTN-USERFirst-Client Authentication and Email
の証明書(無料)を使ってるんだけど、何か問題あるのか?
今のところ、長らく WindowsUpdate をしていないであろう人から
「ドクロが出た」との報は受けたが、その1件だけ
SSL 自体、ドメイン名と紐づくわけだから
取れてしまえばIPアドレスと無関係じゃん
何を言ってるんだか
取れてしまえばIPアドレスと無関係じゃん
何を言ってるんだか
同一IPアドレスのバーチャルホストでは別々の証明書使えないはず。
これはsslの制約上しかたがない。
だからこそ共用サーバ事業者向けなんだろ。
ただ、最後のシステム概要で
https://secure.▼▼▼.com/●●●/○○○.html
に線引いてるあたりの意味がよくわからん。
これはsslの制約上しかたがない。
だからこそ共用サーバ事業者向けなんだろ。
ただ、最後のシステム概要で
https://secure.▼▼▼.com/●●●/○○○.html
に線引いてるあたりの意味がよくわからん。
ユーザー -> GeoTrust鯖で変換 --> 鯖
って形みたい。
ドメイン名によって振り分けるプロキシSSLみたいなもののようだ。
GeoTrust鯖で割り当てるIPは1つで問題ないらしい。
って形みたい。
ドメイン名によって振り分けるプロキシSSLみたいなもののようだ。
GeoTrust鯖で割り当てるIPは1つで問題ないらしい。
> GeoTrust鯖で変換 --> 鯖
この間の通信はどうやって保護すんのかな?VPN?
GeoTrust鯖のIPが1つだとすると対応する証明書はどうやっても1つだよね?
ワイルドカード証明書以外で複数ホストに対応した証明書って作れるのかな?
この間の通信はどうやって保護すんのかな?VPN?
GeoTrust鯖のIPが1つだとすると対応する証明書はどうやっても1つだよね?
ワイルドカード証明書以外で複数ホストに対応した証明書って作れるのかな?
>>492
eNomといえば問答無用でVALUE DOMAINの代理店業務を止めた事件があるからeNom側の発言だけでは信用できないなあ。
eNomといえば問答無用でVALUE DOMAINの代理店業務を止めた事件があるからeNom側の発言だけでは信用できないなあ。
flyダメになったのか。
他にいいところない?
他にいいところない?
501 :DNS未登録さん:2007/03/08(木) 14:35:27 ID:7/A+H1wm
SSL今落ちてない?
SSL使う認証のところGooもほかのとこもだめなんだけど?
SSL使う認証のところGooもほかのとこもだめなんだけど?
502 :DNS未登録さん:2007/03/08(木) 14:45:03 ID:7/A+H1wm
SSLの関係者はここ見てる?
SSL今落ちてない?
SSL使う認証のところGooもほかのとこもだめなんだけど?
メールチェックもできない
さっさとなおしやがれ
SSL今落ちてない?
SSL使う認証のところGooもほかのとこもだめなんだけど?
メールチェックもできない
さっさとなおしやがれ
>>501,502
SSLのこと理解できてるのかな、この人?
SSLのこと理解できてるのかな、この人?
多分わかってないよね。爆
何か質問はありますか?
>>506
ネタにマジレスすんな。
ネタにマジレスすんな。
RegisterFly の証明書、無事にセットアップできました。
さて、奴が退場した場合に備えて2番手を探しておくか…w
さて、奴が退場した場合に備えて2番手を探しておくか…w
RegisterFlyの証明書、中間証明局にRegisterFlyが入っているんでここがつぶれると
使い物にならなくなるよね?
ググってみるとRegisterFlyの雲行きは半端でなく怪しいんで、一年ものでも今から
買うのはまずいよなあ…。
倒産する前にためしで一度使ってみたいけど、どうしたもんだろう。
使い物にならなくなるよね?
ググってみるとRegisterFlyの雲行きは半端でなく怪しいんで、一年ものでも今から
買うのはまずいよなあ…。
倒産する前にためしで一度使ってみたいけど、どうしたもんだろう。
RegisterFlyが潰れたからと言ってRootCAが即刻チェーン切ることは無いんじゃね?
証明書は実在証明だから、潰れた時点で切られてもおかしくないんじゃね?
まぁ多少の猶予期間はあるとは思うが
まぁ多少の猶予期間はあるとは思うが
そもそもRegisterFlyのSSLってenom絡んでないんじゃないの?
てっきりcomodoと直接契約か何かだと思ってたんだけど。
てっきりcomodoと直接契約か何かだと思ってたんだけど。
中間CAが行方不明になっても、そのCAの証明書があればOK。
設定方法は、買ったCAが何か資料を用意しているはず。
#いま外なので、具体的なことは覚えていない。Apache2.0+mod_ssl
なら自分が知っているCAの証明書を登録できる。多分通常のssl接続で
使うのではないかと。
設定方法は、買ったCAが何か資料を用意しているはず。
#いま外なので、具体的なことは覚えていない。Apache2.0+mod_ssl
なら自分が知っているCAの証明書を登録できる。多分通常のssl接続で
使うのではないかと。
>514
だから、
・これまでに買ったホスト証明書はチェイン使える。
・今後は同じルートCAの証明書をその業者からは買えない。
という当たり前の事なんだが。
いま認証チェーンを切っても、リアルタイムに反映される
ものじゃないんだが。
公開鍵の弱点の一つが、リボケーションリストの管理が必要
ってことぐらい知っていてくれ。
だから、
・これまでに買ったホスト証明書はチェイン使える。
・今後は同じルートCAの証明書をその業者からは買えない。
という当たり前の事なんだが。
いま認証チェーンを切っても、リアルタイムに反映される
ものじゃないんだが。
公開鍵の弱点の一つが、リボケーションリストの管理が必要
ってことぐらい知っていてくれ。
アホな編集ミスしてしもうた...orz
×これまでに買ったホスト証明書はチェイン使える。
○これまでに買ったホスト証明書は使える。
認証チェインはいったん発行されると、事実上その
有効期限までは切る事ができない...というか、切る
という行為そのものが存在しないんだよ。
#世の中すべての計算機でリボケーションリストを
共有かつ強制する方法があれば別だが。
契約違反で訴えられる覚悟があれば、上位CAから認証
されている秘密鍵の有効期限までのホスト証明書なら、
いくらでも作れる。証明書なんてその程度のものなんだ
よ。
×これまでに買ったホスト証明書はチェイン使える。
○これまでに買ったホスト証明書は使える。
認証チェインはいったん発行されると、事実上その
有効期限までは切る事ができない...というか、切る
という行為そのものが存在しないんだよ。
#世の中すべての計算機でリボケーションリストを
共有かつ強制する方法があれば別だが。
契約違反で訴えられる覚悟があれば、上位CAから認証
されている秘密鍵の有効期限までのホスト証明書なら、
いくらでも作れる。証明書なんてその程度のものなんだ
よ。
RegisterFlyの支払い手段がPayPalのみになってる。
クレジットカード会社から切られたのかな?
クレジットカード会社から切られたのかな?
中間証明書をCRLに載せることってできるの?
これが可能ならその中間証明書以下はすべて無効にできると思うけど。
これが可能ならその中間証明書以下はすべて無効にできると思うけど。
519 :DNS未登録さん:2007/03/15(木) 18:00:41 ID:UCOt490N
要は、べりサインの公開鍵から秘密鍵を割り出せば、SSLを発行し放題というわけだ。
素数理論を勉強して割り出してみよう。
素数理論を勉強して割り出してみよう。
仕方がないと言えば仕方ないのかもしれないけど・・・
自分のドメインメアド宛に送信されてくるメールで取得作業が進む方式はWeb鯖だけしか立ち上げるつもりがない場合、
メールサーバを一時的にしろ立ち上げておかなきゃならないのは面倒だね・・・。
まあ、セキュリティを一切考えなきゃ左程労力はかからないんだろうけど。
個人鯖(金銭は一切絡まない)なら俺俺証明で我慢しておけってことなのかなぁ。
そもそもSSL利用ページ自体が一切ない訳だが・・・(単に自己満足の為だけに取得を検討)。
自分のドメインメアド宛に送信されてくるメールで取得作業が進む方式はWeb鯖だけしか立ち上げるつもりがない場合、
メールサーバを一時的にしろ立ち上げておかなきゃならないのは面倒だね・・・。
まあ、セキュリティを一切考えなきゃ左程労力はかからないんだろうけど。
個人鯖(金銭は一切絡まない)なら俺俺証明で我慢しておけってことなのかなぁ。
そもそもSSL利用ページ自体が一切ない訳だが・・・(単に自己満足の為だけに取得を検討)。
>520
つ [ rep2 ]
au携帯からも安全に接続できるぞ。安い証明書では無理な事もあるので要確認。
#オレオレ証明書でも、DoCoMo, Softbankは警告が出るが接続可能らしい。
頻度は知らないので、使い物にならないぐらい出るかもしれんが。
つ [ rep2 ]
au携帯からも安全に接続できるぞ。安い証明書では無理な事もあるので要確認。
#オレオレ証明書でも、DoCoMo, Softbankは警告が出るが接続可能らしい。
頻度は知らないので、使い物にならないぐらい出るかもしれんが。
電子証明書と電子認証書って同じものなの?
>>522
Certificateの訳語が違うだけじゃないのか?
Certificateの訳語が違うだけじゃないのか?
http://www.icann.org/announcements/announcement-2-16mar07.htm
RegisterFly、ICANN公認レジストラ契約も解除される。
もう駄目だな。SSLが使えなくなるのも時間の問題。
というかさ、あちこちで連絡が付かないって書かれている。
RegisterFly、ICANN公認レジストラ契約も解除される。
もう駄目だな。SSLが使えなくなるのも時間の問題。
というかさ、あちこちで連絡が付かないって書かれている。
>524
だから、すでに発行されている証明書は大丈夫だと何回いったら(ry
金払って、まだ発行されていない香具師は救われないが。
だから、すでに発行されている証明書は大丈夫だと何回いったら(ry
金払って、まだ発行されていない香具師は救われないが。
CRL鯖ってナニ?
もしかして SSL で通信する際には、その都度証明書を発行した証明局に
アクセスしに行ってるとでも思ってる?
もしかして SSL で通信する際には、その都度証明書を発行した証明局に
アクセスしに行ってるとでも思ってる?
は? CRL が出ないんだったら証明書は有効でしょ?
つーか、CRLをいちいちすべての証明書に発行するんなら
RegisterFlyに対してARL出されると思うけど?
ARL(Authority Revocation List)
証明書失効リスト
CRL(Certificate Revocation List)は認証局(CA)が発行する利用者つまり端末やユーザーレベルの失効リストであるのに対して、ARLはサーバなどの認証局レベルの証明書失効リスト。
http://www.atmarkit.co.jp/aig/02security/arl.html
RegisterFlyに対してARL出されると思うけど?
ARL(Authority Revocation List)
証明書失効リスト
CRL(Certificate Revocation List)は認証局(CA)が発行する利用者つまり端末やユーザーレベルの失効リストであるのに対して、ARLはサーバなどの認証局レベルの証明書失効リスト。
http://www.atmarkit.co.jp/aig/02security/arl.html
>>529
弾くのが普通では?
弾くのが普通では?
>>530
ARL を扱えるアプリなんてほとんどないから安心しろ。
openssl はただの CRL でも扱いに問題ありと言われてるぐらいだし。
そもそも CRL がどこで公開されているかがわからないと、
CRL が発行されたこと自体に気がつかないからまったく意味がないし、
現実に CRL 不明なものがほとんど。
以前 Microsoft 社員のニセモノにベリサインがホンモノの証明書を
発行してしまった事件があったが、これがまさに CRL の場所が不明なものだった。
もちろん CRL は発行されたが、SSL を使うアプリは CRL が出たことを知る方法がない。
この場合は MS01-017 として CRL が Windows Update で配布されたが、
これは Microsoft だからできたことであって、一般的には CRL の URL が
不明な証明書を確実に失効させる手段はない。
ARL を扱えるアプリなんてほとんどないから安心しろ。
openssl はただの CRL でも扱いに問題ありと言われてるぐらいだし。
そもそも CRL がどこで公開されているかがわからないと、
CRL が発行されたこと自体に気がつかないからまったく意味がないし、
現実に CRL 不明なものがほとんど。
以前 Microsoft 社員のニセモノにベリサインがホンモノの証明書を
発行してしまった事件があったが、これがまさに CRL の場所が不明なものだった。
もちろん CRL は発行されたが、SSL を使うアプリは CRL が出たことを知る方法がない。
この場合は MS01-017 として CRL が Windows Update で配布されたが、
これは Microsoft だからできたことであって、一般的には CRL の URL が
不明な証明書を確実に失効させる手段はない。
534 :DNS未登録さん:2007/04/09(月) 01:12:36 ID:c4JV838v
SSLで使われるデジタル証明書について質問させてください。
一般的に、CAに登録されているデジタル証明書から、
通信している相手方の特定は可能なんでしょうか?
ベリサインなんかのリポジトリに登録されている有名サービス(ネットバンキングやショッピング)の証明書を調べても、
証明書の「サブジェクト」に登録されている企業名と市区町村ぐらいまでしか確認できず、
相手方の特定に至れる情報は見当たりません。
なんか似たような企業名を騙って、余裕で詐称できてしまうような気がするんですが・・・
CAって通信の相手方の存在を証明してくれてるんでしょうか?
一般的に、CAに登録されているデジタル証明書から、
通信している相手方の特定は可能なんでしょうか?
ベリサインなんかのリポジトリに登録されている有名サービス(ネットバンキングやショッピング)の証明書を調べても、
証明書の「サブジェクト」に登録されている企業名と市区町村ぐらいまでしか確認できず、
相手方の特定に至れる情報は見当たりません。
なんか似たような企業名を騙って、余裕で詐称できてしまうような気がするんですが・・・
CAって通信の相手方の存在を証明してくれてるんでしょうか?
535 :DNS未登録さん:2007/04/09(月) 03:26:02 ID:yLOIlCTY
ht★tp://77.xmbs.j★p/kid66666/←★は抜いてね!
◎マル秘!総合サイト! m(__)m《どろろ》m(__)m
超人気!完全決定版です!ホスト掲示板・風俗掲示板お水掲示板・総合掲示板
ブラックOK!必殺金融屋!超激安噂の車屋さん☆
このサイトを知らない者は必ず損します(--;)!!
◎マル秘!総合サイト! m(__)m《どろろ》m(__)m
超人気!完全決定版です!ホスト掲示板・風俗掲示板お水掲示板・総合掲示板
ブラックOK!必殺金融屋!超激安噂の車屋さん☆
このサイトを知らない者は必ず損します(--;)!!
>>534
今一言いたいことが分からんが、SSLサーバー証明書は
「その証明書の発行先サイトが確かに当該証明書に記載されている個人・団体に属していること」をCAが証明するもの
確かに似たような企業名を騙って取得することは可能だろうがそこまで言い出したらきりがない
それこそ電話で聞けって話になる
今一言いたいことが分からんが、SSLサーバー証明書は
「その証明書の発行先サイトが確かに当該証明書に記載されている個人・団体に属していること」をCAが証明するもの
確かに似たような企業名を騙って取得することは可能だろうがそこまで言い出したらきりがない
それこそ電話で聞けって話になる
>>534
例えばベリの場合だと、法人が証明書取るには少なくともちゃんと登記されてることが条件になります。
ダミーの会社を登記してまで…っていうと、かなり大掛かりですよね。
まー不可能ではないですけど。
そこまでやんなくてももっと簡単に引っかかる人は多いだろうから
単に「ベリを詐称した勝手ルート証明書」の方がお手軽でいいんじゃないかな。
どうせ詐欺だし。
例えばベリの場合だと、法人が証明書取るには少なくともちゃんと登記されてることが条件になります。
ダミーの会社を登記してまで…っていうと、かなり大掛かりですよね。
まー不可能ではないですけど。
そこまでやんなくてももっと簡単に引っかかる人は多いだろうから
単に「ベリを詐称した勝手ルート証明書」の方がお手軽でいいんじゃないかな。
どうせ詐欺だし。
538 :DNS未登録さん:2007/04/09(月) 18:30:18 ID:fJqknksZ
回答ありがとうございます!
>>534さんが仰るとおり、
「その証明書の発行先サイトが確かに
当該証明書に記載されている個人・団体に属していること」ということで、
公開鍵基盤は、相手の身元をCAが保障することに意味があると自分も解釈しています。
ただ、個人的に疑問に感じたのは、
相手の身元を特定するには、サブジェクトに格納している情報が余りにも少なすぎるのでは?ということです。
例えば三井住友銀行のネットバンキングの証明書は、
サブジェクトに以下の情報を格納しています。
CN = direct.smbc.co.jp、O = SUMITOMO MITSUI BANKING CORPORATION
L = Chiyoda-ku、S = Tokyo、C = JP
千代田区の"三井住友銀行"というふうに有名どころであれば、なんとなく納得してしまいますが、
例えば相手方サーバーの電子証明書に、
以下ののような情報が格納されているとしましょう。
CN = www.suzuki.co.jp、O = SUZUKI SHOJI
L = Nakano-ku、S = Tokyo、C = JP
この場合、ブラウザを操作する側で確認できるのは、
「中野区の"スズキショージ"を名乗る誰かが、
"www.suzuki.co.jp"というサーバーを運営している」ということだけで、
ブラウザが提供するSSLの仕組みの中では、
それが「鈴木商事」なのか「スズキ商事」、
はたまた個人の「鈴木正二」なのか、判断することはできません。
CAへの登録にあたっては、クラスに応じて各種の確認手続きがあるのは知っていますが、
それらの情報は証明書のコンテンツとしては反映されないのが一般的なんでしょうか・・・?
だとすれば、PKIの意義って・・・?長文すみません。
>>534さんが仰るとおり、
「その証明書の発行先サイトが確かに
当該証明書に記載されている個人・団体に属していること」ということで、
公開鍵基盤は、相手の身元をCAが保障することに意味があると自分も解釈しています。
ただ、個人的に疑問に感じたのは、
相手の身元を特定するには、サブジェクトに格納している情報が余りにも少なすぎるのでは?ということです。
例えば三井住友銀行のネットバンキングの証明書は、
サブジェクトに以下の情報を格納しています。
CN = direct.smbc.co.jp、O = SUMITOMO MITSUI BANKING CORPORATION
L = Chiyoda-ku、S = Tokyo、C = JP
千代田区の"三井住友銀行"というふうに有名どころであれば、なんとなく納得してしまいますが、
例えば相手方サーバーの電子証明書に、
以下ののような情報が格納されているとしましょう。
CN = www.suzuki.co.jp、O = SUZUKI SHOJI
L = Nakano-ku、S = Tokyo、C = JP
この場合、ブラウザを操作する側で確認できるのは、
「中野区の"スズキショージ"を名乗る誰かが、
"www.suzuki.co.jp"というサーバーを運営している」ということだけで、
ブラウザが提供するSSLの仕組みの中では、
それが「鈴木商事」なのか「スズキ商事」、
はたまた個人の「鈴木正二」なのか、判断することはできません。
CAへの登録にあたっては、クラスに応じて各種の確認手続きがあるのは知っていますが、
それらの情報は証明書のコンテンツとしては反映されないのが一般的なんでしょうか・・・?
だとすれば、PKIの意義って・・・?長文すみません。
539 :534:2007/04/09(月) 18:45:29 ID:fJqknksZ
名前入れ忘れました・・・。
>>536さん
確かにダミー会社を登記してまでというのはケースとして稀でしょうね。
ただ、サーバー運営側に悪意がなくても"取り違え"の可能性は有り得るわけで・・・。
結局のところ"取り違え"と"なりすまし"の違いというのは、
サーバー運営側の悪意の有無という、主観的な要素でしかないような気がします。
PKIの徹底した管理が詐欺対策につながるのは何となくわかるのですが、、
それより前提となる身元保障が多くのPKIでちゃんと機能しているのか?
というのが、今回の疑問でした。
なんか、無知でうまく説明できなくて申し訳ないです!
>>536さん
確かにダミー会社を登記してまでというのはケースとして稀でしょうね。
ただ、サーバー運営側に悪意がなくても"取り違え"の可能性は有り得るわけで・・・。
結局のところ"取り違え"と"なりすまし"の違いというのは、
サーバー運営側の悪意の有無という、主観的な要素でしかないような気がします。
PKIの徹底した管理が詐欺対策につながるのは何となくわかるのですが、、
それより前提となる身元保障が多くのPKIでちゃんと機能しているのか?
というのが、今回の疑問でした。
なんか、無知でうまく説明できなくて申し訳ないです!
>>539
なるほど。
CA側では基本的には法人は登記と突き合わせていると思いますが
証明書上は(少なくともベリでは)商号は英文表記ですから
利用者が実際に登記と突き合わせようとした場合、問題となることはあるかもしれません。
法人の場合、電子証明書により「登記上での実在性」までは証明できるものの
具体的にどの法人のことなのか?ということまでは電子証明書だけではわからないケースもある、と。
少なくともCA側が法人を取り違えることは「アッテハナラヌコト」のようには思いますけどね。
しかし「ちゃんと登記されてる会社だから大丈夫」って保証はどこにもありませんよね。
詐欺ならまだともかく、ちゃんとした悪徳商法(笑)なんかの場合だと。
なるほど。
CA側では基本的には法人は登記と突き合わせていると思いますが
証明書上は(少なくともベリでは)商号は英文表記ですから
利用者が実際に登記と突き合わせようとした場合、問題となることはあるかもしれません。
法人の場合、電子証明書により「登記上での実在性」までは証明できるものの
具体的にどの法人のことなのか?ということまでは電子証明書だけではわからないケースもある、と。
少なくともCA側が法人を取り違えることは「アッテハナラヌコト」のようには思いますけどね。
しかし「ちゃんと登記されてる会社だから大丈夫」って保証はどこにもありませんよね。
詐欺ならまだともかく、ちゃんとした悪徳商法(笑)なんかの場合だと。
コモンネームとホスト名が一致しなければいけないから、
そのドメインネームを好きにできる必要があるので
「取り違え」で成りすましは行えないと思う。
あと、多くのCAはCRT以外にいわゆる「セキュアサイトシール」も併用して
存在証明の機能を持たせているね。
そのドメインネームを好きにできる必要があるので
「取り違え」で成りすましは行えないと思う。
あと、多くのCAはCRT以外にいわゆる「セキュアサイトシール」も併用して
存在証明の機能を持たせているね。
https なんて実質的には盗聴防止だけだろ?
それ以上を求めちゃいかん
それ以上を求めちゃいかん
>>543
という考え方もそらあるだろうけど。
でもオレは、ネットバンキングのパスワード変更ページとか
ネット通販等でクレジットカード番号入力させるページとかの
SSL証明書の素性は気になるよ。
そもそもあてにならんのだから、そういうもの一切を使わないというのなら話しは別だろうけど。
(本当はそれが一番いいんだろうけどね)
という考え方もそらあるだろうけど。
でもオレは、ネットバンキングのパスワード変更ページとか
ネット通販等でクレジットカード番号入力させるページとかの
SSL証明書の素性は気になるよ。
そもそもあてにならんのだから、そういうもの一切を使わないというのなら話しは別だろうけど。
(本当はそれが一番いいんだろうけどね)
SSLの存在証明なんて気にしてるやついるのかね?
おいらの中では暗号化だけされてればいいって感じ。
フィッシングにひっかかったら考え変わるかもしれないけどw
おいらの中では暗号化だけされてればいいって感じ。
フィッシングにひっかかったら考え変わるかもしれないけどw
SSLクライアント認証
これが一般的にならない限り中途半端(単なる暗号化)のままで行くだろうね。
これが一般的にならない限り中途半端(単なる暗号化)のままで行くだろうね。
正規の法人だって、いよいよ困れば詐欺る可能性もあるわけだし
そもそも安全って一体なんだ?の話になる
だから存在証明だのなんだの(IE7から付いたアレとか)は証明機関の儲けネタに過ぎない
まぁISOのアレとかPマークのアレと大差ないわけよ
そもそも安全って一体なんだ?の話になる
だから存在証明だのなんだの(IE7から付いたアレとか)は証明機関の儲けネタに過ぎない
まぁISOのアレとかPマークのアレと大差ないわけよ
日本ジオトラストがグローバルサインになるんだな。
欧州のルートを傘下に入れて独自ルートで証明書を販売するらしい。
ジオトラストブランドはベリサインが引き続き販売する。
欧州のルートを傘下に入れて独自ルートで証明書を販売するらしい。
ジオトラストブランドはベリサインが引き続き販売する。
日本クロストラスト、業界初の日本語対応 EV SSL証明書の提供を開始
日本クロストラスト株式会社(本社:東京都千代田区、代表取締役:秋山 卓司、以下日本クロストラスト)は
日本国内の法人を対象に、世界統一の厳格な審査プロセスによって発行される、
EV SSLサーバ証明書「Enterprise EV SSL」及び「Enterprise EV SSL Premium」の提供を5月31日より開始します。
ttp://crosstrust.co.jp/evssl.html
日本クロストラスト株式会社(本社:東京都千代田区、代表取締役:秋山 卓司、以下日本クロストラスト)は
日本国内の法人を対象に、世界統一の厳格な審査プロセスによって発行される、
EV SSLサーバ証明書「Enterprise EV SSL」及び「Enterprise EV SSL Premium」の提供を5月31日より開始します。
ttp://crosstrust.co.jp/evssl.html
質問!!
opensslって数日〜数十日後にすぐ新しいバージョンが出ますよね。
再インストールしたほうがいいのですか?
opensslって数日〜数十日後にすぐ新しいバージョンが出ますよね。
再インストールしたほうがいいのですか?
OpenSSLはメモリリークがすごくて大変だと思うんだが、使ってる奴がいることが驚き。
> 552
最近の鯖はよっぽど酷くない限り、メモリリークぐらいじゃ落ちないからな。
OpenSSLは具体的に何をした時に何バイトリークするのかな?
数バイトなら、Gbyte単位の主記憶に比べれば誤差の範囲だよ。
とは言えメモリリークが無い方が良いのは確かだが。
特に組込系は大変そうだ。
最近の鯖はよっぽど酷くない限り、メモリリークぐらいじゃ落ちないからな。
OpenSSLは具体的に何をした時に何バイトリークするのかな?
数バイトなら、Gbyte単位の主記憶に比べれば誤差の範囲だよ。
とは言えメモリリークが無い方が良いのは確かだが。
特に組込系は大変そうだ。
>>552
opensslって普通使わないものなんですか!?
opensslって普通使わないものなんですか!?
>554
使ってる所もあるけど、細かくメモリリークしていくんで、ほんと組み込みとかは大変で、
超安定ってレベルはスゲー難しいんじゃねーかな。
バージョンが上がってリークも増えたり、手元に調べたドキュメントが古くなったり、
タダだと思って使うと大変だよ。
まあ、苦労すれば使えるようになることは確かだけど。
使ってる所もあるけど、細かくメモリリークしていくんで、ほんと組み込みとかは大変で、
超安定ってレベルはスゲー難しいんじゃねーかな。
バージョンが上がってリークも増えたり、手元に調べたドキュメントが古くなったり、
タダだと思って使うと大変だよ。
まあ、苦労すれば使えるようになることは確かだけど。
メモリリークしているのは552の頭だったというオチ。
553が完全に無視されてる件について。
無知ですみません。
ずっとOpenSSL使ってました。
OpenSSL SSLeay Apache-SSL mod_ssl
何を使うべきですか?
ずっとOpenSSL使ってました。
OpenSSL SSLeay Apache-SSL mod_ssl
何を使うべきですか?
560 : ◆tsGpSwX8mo :2007/07/24(火) 15:37:04 ID:???
保守
hosyu
562 :DNS未登録さん:2007/08/26(日) 14:26:04 ID:K2mYYXE3
SSLに詳しい人に聞きたいのですが、
GmailでhttpsでSSL接続してるのですが、SSLってブラウザで送信した内容が
全部暗号化されるのですか?
Webメール(Gmailはメールの内容も暗号化されるのこと)の送信先も暗号化されるのか
疑問に思ったので・・・
SSLの暗号化の範囲ってどこまでなんでしょうか?
GmailでhttpsでSSL接続してるのですが、SSLってブラウザで送信した内容が
全部暗号化されるのですか?
Webメール(Gmailはメールの内容も暗号化されるのこと)の送信先も暗号化されるのか
疑問に思ったので・・・
SSLの暗号化の範囲ってどこまでなんでしょうか?
>>562
httpsの暗号化はhttp層の全て。
httpのリクエストやレスポンスのコンテンツだけでなく、URI (URL)そのものも暗号化される。
従って万が一第三者が盗聴したとしても「どこと通信したのか」までしか解らず、
「どのURI(URL)を読んだ(ポストした)のか」や「内容そのもの」は解らない。
gmailで言えば「gmailと通信した」ことはわかっても、メールを読んだのか書いたのかは
解らないし、内容についても解らない。
httpsの暗号化はhttp層の全て。
httpのリクエストやレスポンスのコンテンツだけでなく、URI (URL)そのものも暗号化される。
従って万が一第三者が盗聴したとしても「どこと通信したのか」までしか解らず、
「どのURI(URL)を読んだ(ポストした)のか」や「内容そのもの」は解らない。
gmailで言えば「gmailと通信した」ことはわかっても、メールを読んだのか書いたのかは
解らないし、内容についても解らない。
564 :DNS未登録さん:2007/08/26(日) 19:20:55 ID:K2mYYXE3
>>563
さんきゅ、よくわかったよ。
さんきゅ、よくわかったよ。
でも、gmail鯖出たら、メール本文が暗号化されて無い限り大体無力だよ。
気休めぐらいに考えておくのが吉。
気休めぐらいに考えておくのが吉。
gmailの中の人が盗み見することを防ぐならば、という意味だろ
gmail鯖出たらっていってんだから、popで受信したり他のメール鯖に転送したらってことだろ。
>>562に便乗して質問です。例えば学校の情報センターのPCを使って
Gmailでメールを読み書きしていたとすると、そのメールの内容がセンターの
管理人とか同一LAN内でパケットキャプチャをしている人にばれてしまう
可能性はありますか?
Gmailでメールを読み書きしていたとすると、そのメールの内容がセンターの
管理人とか同一LAN内でパケットキャプチャをしている人にばれてしまう
可能性はありますか?
gmail鯖と通信してることは分かっても
通信内容は暗号化されているから分からない
通信内容は暗号化されているから分からない
わかった。ありがとう。
当然 http: だとだめだぞ
関係ないけどRegisterFlyから$1.00引きクーポンが送られてきたよ。
これを機にお遊びサーバ用のSSL証明書をいくつか買っておくか。
これを機にお遊びサーバ用のSSL証明書をいくつか買っておくか。
携帯でつかえるやつでやすいところでてない?
triton(だっけ?)はもうつかえなくなったので
探してたんだけど、今のところは最安は以下。
http://www.servertastic.com/default.asp?
quicksslのpremium
triton(だっけ?)はもうつかえなくなったので
探してたんだけど、今のところは最安は以下。
http://www.servertastic.com/default.asp?
quicksslのpremium
576 :DNS未登録さん:2007/09/19(水) 18:36:12 ID:mLiy0LX8
rapidsslを契約しサーバーに設定終わったので
以下のページを参考にサイトシールを設置しようと
OU確認したら表示が異なっていてクリックしたら表示するページを設定できない
ttp://onlinessl.jp/support/starterssl_seal.html
ChoicePoint/Businessprofileサポート終了のお知らせ
ttp://onlinessl.jp/content/11_11_06.html
ってなってるからたんにシール(画像)を設置するだけになってしまったてことでOK?
以下のページを参考にサイトシールを設置しようと
OU確認したら表示が異なっていてクリックしたら表示するページを設定できない
ttp://onlinessl.jp/support/starterssl_seal.html
ChoicePoint/Businessprofileサポート終了のお知らせ
ttp://onlinessl.jp/content/11_11_06.html
ってなってるからたんにシール(画像)を設置するだけになってしまったてことでOK?
PremiumじゃないQuickSSLも今はEquifax Secure Certificate Authorityだと思った。
日本じゃ扱ってるとこ少ないけど。
日本じゃ扱ってるとこ少ないけど。
>>576
rapidsslはサイトシールが使えないってこと?
rapidsslはサイトシールが使えないってこと?
>>576,579
同じく気になったが、自己判断・認識のレベルで。。
ttp://onlinessl.jp/content/compare.html
・(gif画像)となっているので シールは画像のみ。
・「会社のビジネス・プロフィールをChoicePointへ自動登録」が無くなったので
「登録情報がありません」になる(FreeSSLで試したところ)。
サポート終了前に自動登録されたものは情報が出るみたい。
・ChoicePointの顧客情報漏洩で登録しないことになったのでは?
こんな感じ?
ChoicePoint に自分で登録する方法とかあるのだろうか?
ちょっとみつけきれなかった。
同じく気になったが、自己判断・認識のレベルで。。
ttp://onlinessl.jp/content/compare.html
・(gif画像)となっているので シールは画像のみ。
・「会社のビジネス・プロフィールをChoicePointへ自動登録」が無くなったので
「登録情報がありません」になる(FreeSSLで試したところ)。
サポート終了前に自動登録されたものは情報が出るみたい。
・ChoicePointの顧客情報漏洩で登録しないことになったのでは?
こんな感じ?
ChoicePoint に自分で登録する方法とかあるのだろうか?
ちょっとみつけきれなかった。
来月の更新からジオトラスト→グローバルサイトに変更になるらしいんだけど、
GMOのサイト見る限りグローバルサインって携帯全滅っぽい...orz
これってやばくね?
GMOのサイト見る限りグローバルサインって携帯全滅っぽい...orz
これってやばくね?
全滅って事はないだろうが、まぁカバーできる範囲は狭いな
っていうか随分前にその話題出てた気がするが、今更慌ててるのか?
っていうか随分前にその話題出てた気がするが、今更慌ててるのか?
>>582
GMOからいろいろ案内がくるわりには、
一番大事なこといってくれないから
更新直前まで気づかなかった。
わざわざ高いお金払って、GMOブランドで安心を買ってたのに...
やっぱり他人まかせはダメだわ。
グローバルサイン 携帯
au by KDDI ×
NTT DoCoMo ×
SoftBank Mobile ○
WILLCOM △
GMOからいろいろ案内がくるわりには、
一番大事なこといってくれないから
更新直前まで気づかなかった。
わざわざ高いお金払って、GMOブランドで安心を買ってたのに...
やっぱり他人まかせはダメだわ。
グローバルサイン 携帯
au by KDDI ×
NTT DoCoMo ×
SoftBank Mobile ○
WILLCOM △
認証局が変わる件は半年ぐらい前に案内きてた気がするが・・・
ChoicePointのプロフィールってDisclaimerも表示されてて、
プロフィールは自己申告で情報は全く確認はされていませんって書かれてて、
なんだか印象悪いから、わざわざリンクさせてまで表示する必要は無い気がするよ。
と言って、うちのクライアントには勧めなかったw
プロフィールは自己申告で情報は全く確認はされていませんって書かれてて、
なんだか印象悪いから、わざわざリンクさせてまで表示する必要は無い気がするよ。
と言って、うちのクライアントには勧めなかったw
日本語がおかしくてすまんorz
>>584
GeoTrust本家かリセラーで更新したらよろしいかと。
GeoTrust本家かリセラーで更新したらよろしいかと。
>>584
GlobalSign Root CAになるとしたらSoftBankも△じゃないか
ttp://triaez.kaisei.org/~kaoru/ssl/cell.html
携帯で使いものにならんことにはかわらんが。
GlobalSign Root CAになるとしたらSoftBankも△じゃないか
ttp://triaez.kaisei.org/~kaoru/ssl/cell.html
携帯で使いものにならんことにはかわらんが。
GMOに問い合わせたら、
ドコモとauは年末以降に発売のモデルより順次対応予定らしい。
で、GMOで引き続きGeoTrustの更新もできるらしい。
あと一年はGeoだな。
ドコモとauは年末以降に発売のモデルより順次対応予定らしい。
で、GMOで引き続きGeoTrustの更新もできるらしい。
あと一年はGeoだな。
ってことは再来年になるまで使い物にならんってことだな
0円携帯廃止で機種変ペースが落ちるだろうからさらに厳しいな...
2001年以降の携帯端末に対応させたいならベリサイン、GTE CyberTrust(セコムトラスト含)みたいな感じ?
日本語対応の契約サイトだとhttp://ritenn.com/comodo/とか結構安くない?
他に良いところがあったらおしえてにょろ。
日本語対応の契約サイトだとhttp://ritenn.com/comodo/とか結構安くない?
他に良いところがあったらおしえてにょろ。
>>593
そこCOMODOじゃねーかw
そこCOMODOじゃねーかw
てことは現在は2001年以降の携帯端末対応じゃないのかしらん。。
業務でどれを使えばいいかなやむにょろ。
業務でどれを使えばいいかなやむにょろ。
2001年からならベリサインしかないな
GTE CyberTrustは?
GTE CyberTrustは2001年以降だと微妙かもしれんぞ。
Global Rootがのってる端末はOKだが、それ以外は有効期限切れになってるんじゃまいか?
Global Rootがのってる端末はOKだが、それ以外は有効期限切れになってるんじゃまいか?
2001年の頃の携帯ユーザーは切り捨ててもいいんじゃね?
http://www.secomtrust.net/service/ninsyo/mobile_SSL.html
これ見る限りgteは問題無さそうだが。
これ見る限りgteは問題無さそうだが。
no IP SSLについて教えてくれないか
ネット通販利用者のSSL認識度合いとか必要必須としている割合とか。。
そんな市場調査した情報ない??
いや、利用者が気づいているかどうかは別にして?!責任としてSSLは使っているんだがね。。
そんな市場調査した情報ない??
いや、利用者が気づいているかどうかは別にして?!責任としてSSLは使っているんだがね。。
603 :蕪木ら某 ◆Googl8RmwA :2007/11/26(月) 23:05:22 ID:???
業者が自分のとこに不利な統計出したりせんだろ
SSLシール云々なんかいちいち気にしたことあるか?
SSLシール云々なんかいちいち気にしたことあるか?
>>603 thx
ttp://www.macromill.com/client/r_data/trendview/20051001privacy/index.html
こんなんも見つけた(同様なグローバルサインからたどって。。)
ttp://www.macromill.com/client/r_data/trendview/20051001privacy/index.html
こんなんも見つけた(同様なグローバルサインからたどって。。)
SSLはよく言われるよねー。鍵マーク云々ってメディアでよく報道してるから。
でも正直SSLがかかってなかったから情報漏洩しますた、って事例全然聞かないよね。
でも正直SSLがかかってなかったから情報漏洩しますた、って事例全然聞かないよね。
>>606
野良無線を活用する際には必須でつ
野良無線を活用する際には必須でつ
まぁなwあと、野良proxyもか。
でも、PacketiX使ってた方が安心だな。httpも暗号化できるし。
でも、PacketiX使ってた方が安心だな。httpも暗号化できるし。
安いところのメモ
シングル
Positive SSL ($9) Comodo 保証金無
http://www.positivessl.com/
FlySSL ($9.99)
http://www.registerfly.com/ssl/
RapidSSL (直販 $69)
http://www.servertastic.com/ ($12.5)
http://www.namecheap.com/learn/other-services/ssl-certificates.asp ($12.88)
ワイルドカード
FlySSL Wildcard ($119.99)
http://www.registerfly.com/ssl/
RapidSSL Wildcard (直販 $199)
http://www.namecheap.com/learn/other-services/ssl-certificates.asp ($125.88)
ワイルドカード(台数無制限)
DigiCert SSL Wildcard ($495)
http://www.digicert.com/wildcard-ssl-certificates.htm
番外
CAcert 無料 オレオレ証明書
http://www.cacert.org/
StartSSL 無料 Firefox,Safariなど対応
http://cert.startcom.org/
対応ブラウザ一覧
http://cert.startcom.org/?app=140
シングル
Positive SSL ($9) Comodo 保証金無
http://www.positivessl.com/
FlySSL ($9.99)
http://www.registerfly.com/ssl/
RapidSSL (直販 $69)
http://www.servertastic.com/ ($12.5)
http://www.namecheap.com/learn/other-services/ssl-certificates.asp ($12.88)
ワイルドカード
FlySSL Wildcard ($119.99)
http://www.registerfly.com/ssl/
RapidSSL Wildcard (直販 $199)
http://www.namecheap.com/learn/other-services/ssl-certificates.asp ($125.88)
ワイルドカード(台数無制限)
DigiCert SSL Wildcard ($495)
http://www.digicert.com/wildcard-ssl-certificates.htm
番外
CAcert 無料 オレオレ証明書
http://www.cacert.org/
StartSSL 無料 Firefox,Safariなど対応
http://cert.startcom.org/
対応ブラウザ一覧
http://cert.startcom.org/?app=140
EV SSL(強化認証SSL)のメモ(国内)
Toriton,Inc.(Comodo) (http://www.trustlogo.co.jp/products/ev-ssl-certificate.htm)
EV High Assurance SSL Certificate ¥75,600
EV High Assurance SSL Certificate with SGC ¥94,500
グローバルサイン (http://jp.globalsign.com/service/ssl/ev.html)
EV SSL ¥134,400 (12/31まで ¥99,750)
セコム (http://www.secomtrust.net/service/ninsyo/forwebev.html)
セコムパスポート for Web EV ¥141,750
日本クロストラスト(Comodo) (http://crosstrust.co.jp/enterprise_ev_ssl.html)
Enterprise EV SSL ¥165,900
Enterprise EV SSL premium (SGC対応) ¥207,900
ベリサイン (http://www.verisign.co.jp/server/products/ev_ssl/index.html)
セキュア・サーバID EV \170,100 (1/21まで \153,090)
グローバル・サーバID EV (SGC対応) \229,950 (1/21まで \206,955)
Toriton,Inc.(Comodo) (http://www.trustlogo.co.jp/products/ev-ssl-certificate.htm)
EV High Assurance SSL Certificate ¥75,600
EV High Assurance SSL Certificate with SGC ¥94,500
グローバルサイン (http://jp.globalsign.com/service/ssl/ev.html)
EV SSL ¥134,400 (12/31まで ¥99,750)
セコム (http://www.secomtrust.net/service/ninsyo/forwebev.html)
セコムパスポート for Web EV ¥141,750
日本クロストラスト(Comodo) (http://crosstrust.co.jp/enterprise_ev_ssl.html)
Enterprise EV SSL ¥165,900
Enterprise EV SSL premium (SGC対応) ¥207,900
ベリサイン (http://www.verisign.co.jp/server/products/ev_ssl/index.html)
セキュア・サーバID EV \170,100 (1/21まで \153,090)
グローバル・サーバID EV (SGC対応) \229,950 (1/21まで \206,955)
StartSSL で証明書つくってみてぶち込んだけど Firefox2 も IE も文句いってきたぞ。
怠いからもうワイルドカードなオレオレにしたよ。
怠いからもうワイルドカードなオレオレにしたよ。
>>611
IEは一覧にあるように対応していない。
ちなみに、Operaも対応していない。
↓はFirefoxで問題なく接続できるけど違う証明書なのかな?
https://cert.startcom.org/
IEは一覧にあるように対応していない。
ちなみに、Operaも対応していない。
↓はFirefoxで問題なく接続できるけど違う証明書なのかな?
https://cert.startcom.org/
EVは高いな〜
追加
ワイルドカード(台数無制限)
ipsCA WildCard Certificate ($276)
http://certs.ipsca.com/Products/ipsca_ssl_Wildcard_certificates.ASP
ワイルドカード(台数無制限)
ipsCA WildCard Certificate ($276)
http://certs.ipsca.com/Products/ipsca_ssl_Wildcard_certificates.ASP
追加
シングル
OneStepSSL ($9 Positive SSLと同じ Comodo 保証金無 Paypal対応)
http://www.onestepssl.com/
ワイルドカード(台数無制限)
OneStep Wildcard SSL ($149 Positive SSL Wildcardと同じ Comodo 保証金無 Paypal対応)
http://www.onestepssl.com/
シングル
OneStepSSL ($9 Positive SSLと同じ Comodo 保証金無 Paypal対応)
http://www.onestepssl.com/
ワイルドカード(台数無制限)
OneStep Wildcard SSL ($149 Positive SSL Wildcardと同じ Comodo 保証金無 Paypal対応)
http://www.onestepssl.com/
617 :DNS未登録さん:2007/12/25(火) 13:49:00 ID:4nofnCnC
保証金無だと安いですね。
保証金で助かった事例とかありますか?
保証金で助かった事例とかありますか?
618 :DNS未登録さん:2007/12/25(火) 14:40:38 ID:MAds2WxB
> 574
そこのQuickSSL (Premium無し)を買ってみたら、
Equifax Secure Certificate Authority
じゃなくて
Equifax Secure Global eBusiness CA-1
だった件。携帯使えない orz...
QuickSSL Premiumだと
Equifax Secure Certificate Authority
だから携帯使えるの?
そこのQuickSSL (Premium無し)を買ってみたら、
Equifax Secure Certificate Authority
じゃなくて
Equifax Secure Global eBusiness CA-1
だった件。携帯使えない orz...
QuickSSL Premiumだと
Equifax Secure Certificate Authority
だから携帯使えるの?
追加
シングル(台数無制限)
Standard SSL ($19.99 Godaddy)
https://www.godaddy.com/gdshop/ssl/ssl.asp?ci=8979
ワイルドカード(台数無制限)
Standard SSL Wildcard ($199.99 Godaddy)
https://www.godaddy.com/gdshop/ssl/ssl.asp?ci=8979
シングル(台数無制限)
Standard SSL ($19.99 Godaddy)
https://www.godaddy.com/gdshop/ssl/ssl.asp?ci=8979
ワイルドカード(台数無制限)
Standard SSL Wildcard ($199.99 Godaddy)
https://www.godaddy.com/gdshop/ssl/ssl.asp?ci=8979
>>616
今見たら値上げしていたので修正
シングル
OneStepSSL ($9 → $25 Positive SSLと同じ Comodo 保証金無 Paypal対応)
http://www.onestepssl.com/
ワイルドカード(台数無制限)
OneStep Wildcard SSL ($149 → $229 Positive SSL Wildcardと同じ Comodo 保証金無 Paypal対応)
http://www.onestepssl.com/
今見たら値上げしていたので修正
シングル
OneStepSSL ($9 → $25 Positive SSLと同じ Comodo 保証金無 Paypal対応)
http://www.onestepssl.com/
ワイルドカード(台数無制限)
OneStep Wildcard SSL ($149 → $229 Positive SSL Wildcardと同じ Comodo 保証金無 Paypal対応)
http://www.onestepssl.com/
621 :DNS未登録さん:2008/01/07(月) 16:12:03 ID:0o8UARdW
ベリサインと同じ携帯とブラウザ対応度で
安くあげようとしたら、Thawteを選んどけばOK?
安くあげようとしたら、Thawteを選んどけばOK?
>>618
ttp://www.geotrust.com/buy/certificate_compare.asp
のUbiquityを見るとQuickSSL Premiumだと携帯OKで、QuickSSLだと携帯NG
のように見える。
ttp://www.geotrust.com/buy/certificate_compare.asp
のUbiquityを見るとQuickSSL Premiumだと携帯OKで、QuickSSLだと携帯NG
のように見える。
Win2003SBS上でFTP over SSLとHTTPSはどっちが実装が簡単?
FTP over SSL は標準にはないと思うが
comodo値上げした??
まあ、GMOは昔から色々言われてたりするから。
最近はどうか知らんけどね。
最近はどうか知らんけどね。
>>630
ハゲどう
ハゲどう
Beyondさんが散々GMOの問題を告発しているのに、意外と知られていないんだね…
あそこはググル八分だし。
>>619
今見たら値上げしていたので修正
シングル(台数無制限)
Standard SSL ($19.99 → $29.99 Godaddy)
https://www.godaddy.com/gdshop/ssl/ssl.asp?ci=8979
今見たら値上げしていたので修正
シングル(台数無制限)
Standard SSL ($19.99 → $29.99 Godaddy)
https://www.godaddy.com/gdshop/ssl/ssl.asp?ci=8979
636 :DNS未登録さん:2008/05/10(土) 20:29:46 ID:8ForD27k
>>576
>>579
>>580
http://web.archive.org/web/20070416002918/http://www.onlinessl.jp/support/starterssl_seal.html
↓
http://onlinessl.jp/support/starterssl_seal.html
RapidSSL サイトシールの効果から、証明書の提示が無くなってしまったのですが
どうにもならないのかな。
5年契約してしまっているのだが、契約の解除には応じないらしい。
明らかに虚偽広告だと思うのだが、泣き寝入りしかないのだろうか。
>>579
>>580
http://web.archive.org/web/20070416002918/http://www.onlinessl.jp/support/starterssl_seal.html
↓
http://onlinessl.jp/support/starterssl_seal.html
RapidSSL サイトシールの効果から、証明書の提示が無くなってしまったのですが
どうにもならないのかな。
5年契約してしまっているのだが、契約の解除には応じないらしい。
明らかに虚偽広告だと思うのだが、泣き寝入りしかないのだろうか。
オレオレ認証局最強
オレオレ認証局ってなんか名称変だよね
信頼できる方法で配れば一緒だろうに
信頼できる方法で配れば一緒だろうに
> 信頼できる方法
おしえて
おしえて
>641
直接本人から手渡し
直接本人から手渡し
原始的に聞こえるけど、USの軍事施設とかでも
基本的には手渡しでやってるよね。
基本的には手渡しでやってるよね。
>>638
これはひどい
これはひどい
>>643
ん??
ん??
サイトシールはパチモンつうか自分で画像貼ってるだけだけど
証明書自体は本物みたいな。
証明書自体は本物みたいな。
証明書、同一サーバーの別のサイトのドメインがコモンネームに出てるじゃん
これはオレオレより悪質。
なお同一サーバー(厳密には同一IPアドレス)の別サイトは
ttp://www.myipneighbors.com/
ここで調べられる。
これはオレオレより悪質。
なお同一サーバー(厳密には同一IPアドレス)の別サイトは
ttp://www.myipneighbors.com/
ここで調べられる。
すまんが、どのページのことだ?
やりたいことがわからんw
元は自前のカートだったけど
今はレンタル鯖のカートに切り替えたとかか?
元は自前のカートだったけど
今はレンタル鯖のカートに切り替えたとかか?
>>638
グローバルサインに聞いてみた
>お世話になっております。グローバルサイン株式会社の○○と申します。
>この度はご連絡いただきまして、誠にありがとうございます。
>
>ホームページを確認しましたところ、問い合わせフォームに
>弊社の証明書が設定されておりましたが、レンタルサーバの
>共用SSLを利用されているようでございます。
>
>「www.hazaiya.jp」では、証明書を購入いただいていないため、
>シールを表示することができませんが、ページを自作し、不正
>に弊社のロゴを利用している状況でございます。
>
>こちらにつきましては、弊社より注意をさせていただきます。
>ご連絡いただきありがとうございました。
グローバルサインに聞いてみた
>お世話になっております。グローバルサイン株式会社の○○と申します。
>この度はご連絡いただきまして、誠にありがとうございます。
>
>ホームページを確認しましたところ、問い合わせフォームに
>弊社の証明書が設定されておりましたが、レンタルサーバの
>共用SSLを利用されているようでございます。
>
>「www.hazaiya.jp」では、証明書を購入いただいていないため、
>シールを表示することができませんが、ページを自作し、不正
>に弊社のロゴを利用している状況でございます。
>
>こちらにつきましては、弊社より注意をさせていただきます。
>ご連絡いただきありがとうございました。
ttp://www.hazaiya.jp
ttps://secure02.blue.shared-server.net/www.hazaiya-cgi.com/i/〜
サイトシールを置かなきゃ良いだけだな
ttps://secure02.blue.shared-server.net/www.hazaiya-cgi.com/i/〜
サイトシールを置かなきゃ良いだけだな
いや違うか
ttp://www.hazaiya-cgi.com/inquiry_order.html
ttps://secure02.blue.shared-server.net/www.hazaiya-cgi.com/inquiry_order.html
っていうカラクリかよ
確かに、これはひどい
ttp://www.hazaiya-cgi.com/inquiry_order.html
ttps://secure02.blue.shared-server.net/www.hazaiya-cgi.com/inquiry_order.html
っていうカラクリかよ
確かに、これはひどい
某業者からSSL証明書を購入したら、
特にドメイン認証など一切無しで、料金支払い直後に.crtが発行されました。
普通簡単な認証でも
ドメインのwhoisあてのメールで本人確認等が行われるのが一般的かと思います。
で、そのcrtをインストールしてテスト使用しましたが、
safari,opera,IE7,firefox、どのブラウザでも
警告等が表示されません。つまり正常に使用可能です。
これってありなんでしょうか?
使用する上で何か注意点ってあるでしょうか?
特にドメイン認証など一切無しで、料金支払い直後に.crtが発行されました。
普通簡単な認証でも
ドメインのwhoisあてのメールで本人確認等が行われるのが一般的かと思います。
で、そのcrtをインストールしてテスト使用しましたが、
safari,opera,IE7,firefox、どのブラウザでも
警告等が表示されません。つまり正常に使用可能です。
これってありなんでしょうか?
使用する上で何か注意点ってあるでしょうか?
whoisだとサブドメインの管理者かどうかわからないから、
admin@subdomain宛を受信できるかどうかだったりするけど、それもなし?
試しにmicrosoft.com宛に発行してもらうとかどうだろう
admin@subdomain宛を受信できるかどうかだったりするけど、それもなし?
試しにmicrosoft.com宛に発行してもらうとかどうだろう
>652
どういう本人確認を行うかは、認証局のポリシーによるから
それで良いっていう認証局ならそれで良いんだよ
どういう本人確認を行うかは、認証局のポリシーによるから
それで良いっていう認証局ならそれで良いんだよ
>>653
それも無しです。
microsoft.com ってすればそれ用の.crtが送られてきます。
もちろんmicrosoft.comの鯖には入れられないので
悪用できない気もするのですが、
であれば、そもそも多くの業者が本人確認を行う意図って何でしょうか?
それも無しです。
microsoft.com ってすればそれ用の.crtが送られてきます。
もちろんmicrosoft.comの鯖には入れられないので
悪用できない気もするのですが、
であれば、そもそも多くの業者が本人確認を行う意図って何でしょうか?
>655
鍵と本人の対応を確認するためだよ
確認方法ってのは、>654のとおりに運用規程によるんだよ
それで認証局が問題ないって言えば問題なくて、
それがその認証局のポリシーなんだよ
そのポリシーを良しとするか悪しとするかは、証明書利用者の勝手
もっと厳格な本人確認が必要な証明書が必要ならば、そういう認証局を選べよってこと
鍵と本人の対応を確認するためだよ
確認方法ってのは、>654のとおりに運用規程によるんだよ
それで認証局が問題ないって言えば問題なくて、
それがその認証局のポリシーなんだよ
そのポリシーを良しとするか悪しとするかは、証明書利用者の勝手
もっと厳格な本人確認が必要な証明書が必要ならば、そういう認証局を選べよってこと
>>655
> microsoft.com ってすればそれ用の.crtが送られてきます。
銀行とかECサイトの証明書とって誰でも中間者攻撃ができてしまう。
ハードルはどこか適当なルータをのっとるだけ。
ポリシーの問題でも、それをよしとするかの問題でもないよ。
自分と相手サーバが加入しているISPの従業員全員が善意の持ち主だと思うか?
> microsoft.com ってすればそれ用の.crtが送られてきます。
銀行とかECサイトの証明書とって誰でも中間者攻撃ができてしまう。
ハードルはどこか適当なルータをのっとるだけ。
ポリシーの問題でも、それをよしとするかの問題でもないよ。
自分と相手サーバが加入しているISPの従業員全員が善意の持ち主だと思うか?
> ハードルはどこか適当なルータをのっとるだけ。
えらく高いハードルだな
えらく高いハードルだな
>>658
DNS の乗っ取りでも可。
DNS の乗っ取りでも可。
そもそもSSLの証明書は
・対象のサーバに正しく接続している事。
・通信元と対象のサーバ間の通信内容が改変できない事。
・通信元と対象のサーバ間の通信内容が傍受できない事。
程度でサーバの所有者は知ったこっちゃなく
サーバの所有者の証明は別のサービスなのでポリシーの問題でしょ?
・対象のサーバに正しく接続している事。
・通信元と対象のサーバ間の通信内容が改変できない事。
・通信元と対象のサーバ間の通信内容が傍受できない事。
程度でサーバの所有者は知ったこっちゃなく
サーバの所有者の証明は別のサービスなのでポリシーの問題でしょ?
対象のサーバに正しく接続している事が保証できなくなるのが問題なんだけど。
高木センセにケツでも蹴ってもらえ。
高木センセにケツでも蹴ってもらえ。
ルータを乗っ取るとかせんでも、お客さんの方から
来てもらったっていいわけだよね。
自鯖をオープンプロクシにして公開proxylistに載っけるとかさ。
中にはそのままGmailやMSN mailをチェックしようとする
アホもいるだろうから、そこをMITMでごちそうさま、と
来てもらったっていいわけだよね。
自鯖をオープンプロクシにして公開proxylistに載っけるとかさ。
中にはそのままGmailやMSN mailをチェックしようとする
アホもいるだろうから、そこをMITMでごちそうさま、と
>>652
それ、なんて言う業者?
それ、なんて言う業者?
FlySSLだろ?
FlySSLはメールで確認取ってなかったけ?
668 :DNS未登録さん:2008/06/18(水) 19:43:20 ID:/Kdjzsn+
認証局イラネ。httpなら相互の鍵交換だけで良いよ。
その鍵が本物かどうか確認するのに認証局が必要なんだが
>>669
んじゃ本物かどうか直接会って確かめりゃいいんじゃね?
んじゃ本物かどうか直接会って確かめりゃいいんじゃね?
SSLはPKIが前提だから、本来なら認証局は必要だよね
けど、個人用とか、限定ならば無くても運用でカバーとかでしょ
けど、個人用とか、限定ならば無くても運用でカバーとかでしょ
それもありだよ。つうか、暗号鍵は本来は軍事技術なんで、身元が保証できる者同士が
直接対面して物理的に渡すものだった。それができないトランザクションが増えたから、
認証局という便利なものが生まれた。
直接対面して物理的に渡すものだった。それができないトランザクションが増えたから、
認証局という便利なものが生まれた。
そしてまた適当なニワカが・・
>>671
>SSLはPKIが前提だから、本来なら認証局は必要だよね
?
PKIなんて技術インフラだから、この意見が全く意味を成さないことを>>671は気づいているのだろうか?
PKI技術の何を使うか、使わないかは自由。winnyもPKI上のアプリ。
>SSLはPKIが前提だから、本来なら認証局は必要だよね
?
PKIなんて技術インフラだから、この意見が全く意味を成さないことを>>671は気づいているのだろうか?
PKI技術の何を使うか、使わないかは自由。winnyもPKI上のアプリ。
いやだから、DNSがコンプロマイズされうるんだと何度いえば
自称ドメインと証明書ドメインの合致を確認しないと
DNSスプーフィングで偽サイトと通信してるリスクが回避できないんだよね?
DNSスプーフィングで偽サイトと通信してるリスクが回避できないんだよね?
ないない
DNSスプーフィングは「通信経路上で、悪意あるサーバまたは
悪意あるサーバが配布する改竄されたDNS情報に汚染された(poisoned)
サーバ群を経由する」という、クライアント本人には回避しようのない
一定の統計的確率によって遭遇するリスクだよね。MITMも同様。
「ルート証明書のスプーフィング」とは、ブラウザ内蔵の大手認証局ルート証明書を
後から改竄するという意味ではなく、虚偽の内容のオレオレ証明書を
インストールさせることだと思うけど、暗号化リテラシーがある人間なら
こういう事態は起こらないはずだし、少なくとも本人が証明書インストールに
承諾を与えない限り、正しいホストとの正しい暗号化通信であることを
無条件に保証されたりしない。そういう意味で、DNSスプーフィングとは
リスクの質・量ともに大きな隔たりがある。
悪意あるサーバが配布する改竄されたDNS情報に汚染された(poisoned)
サーバ群を経由する」という、クライアント本人には回避しようのない
一定の統計的確率によって遭遇するリスクだよね。MITMも同様。
「ルート証明書のスプーフィング」とは、ブラウザ内蔵の大手認証局ルート証明書を
後から改竄するという意味ではなく、虚偽の内容のオレオレ証明書を
インストールさせることだと思うけど、暗号化リテラシーがある人間なら
こういう事態は起こらないはずだし、少なくとも本人が証明書インストールに
承諾を与えない限り、正しいホストとの正しい暗号化通信であることを
無条件に保証されたりしない。そういう意味で、DNSスプーフィングとは
リスクの質・量ともに大きな隔たりがある。
ブラウザ内蔵のルート証明書を「後から改竄」じゃなくて、
「最初から改竄」されるリスクもあるんだよな。
特に今回のFirefox3のお祭騒ぎはMITMのできる立場の人間なら悪用できそうだ。
「最初から改竄」されるリスクもあるんだよな。
特に今回のFirefox3のお祭騒ぎはMITMのできる立場の人間なら悪用できそうだ。
ブラウザ自体の改善まで考慮すると、なんでもありありなんだが...。
改善?改竄かな。
だからこそ、信頼できるとこから必ずSSLでダウンロードする
ようにしとかないといけないんじゃないだろうか。
MD5だけSSLで持ってきて比較するなんてのは一般人には無理だ。
昨今ブラウザを安易に配りすぎてないか。
だからこそ、信頼できるとこから必ずSSLでダウンロードする
ようにしとかないといけないんじゃないだろうか。
MD5だけSSLで持ってきて比較するなんてのは一般人には無理だ。
昨今ブラウザを安易に配りすぎてないか。
686 :蕪木ら某 ◆Googl8RmwA :2008/06/20(金) 02:06:28 ID:???
世の中にある証明書を信用できるのか?
↓
ブラウザが最初から持っている証明書を信用できるか?
↓
OSの持っている証明書を信用できるか?
どうしても信用ならないのであればOSから自作してください。
というかネットに繋ぐな、直接会えない人とのやりとりのための通信技術なのだから。
↓
ブラウザが最初から持っている証明書を信用できるか?
↓
OSの持っている証明書を信用できるか?
どうしても信用ならないのであればOSから自作してください。
というかネットに繋ぐな、直接会えない人とのやりとりのための通信技術なのだから。
>>687
バカジャネ?
OSの証明書は、サーバがクライアントを認証する場合には重要だけど、
普通のWEBサーバはそんなことするか?
クライアントがサーバを認証するのが重要で、
サーバの証明書のほうが問題だろ。
普通のWEBサーバは、クライアントの証明書(>>687の馬鹿が言うOSの証明書)なんか認証する必要は一切ない。
そもそも不特定多数の知らない人間たちがアクセスするんだから。
バカジャネ?
OSの証明書は、サーバがクライアントを認証する場合には重要だけど、
普通のWEBサーバはそんなことするか?
クライアントがサーバを認証するのが重要で、
サーバの証明書のほうが問題だろ。
普通のWEBサーバは、クライアントの証明書(>>687の馬鹿が言うOSの証明書)なんか認証する必要は一切ない。
そもそも不特定多数の知らない人間たちがアクセスするんだから。
>>685
不特定多数がアクセスするからこそ認証局が必要なんだけど
不特定多数がアクセスするからこそ認証局が必要なんだけど
>>688
ええええええええぇ?
ええええええええぇ?
世の中にある(webサーバの)証明書を信用できるのか?
↓
ブラウザが最初から持っている証明書(webtrustCAを信用しなければならないが)を信用できるか?
↓
(ブラウザのインストーラーのコードサインニングを確認するため)OSの(あらかじめ)持っている証明書を信用できるか?
どうしても信用ならないのであればOSから自作してください。
というかネットに繋ぐな、直接会えない人とのやりとりのための通信技術なのだから。
(証明書はその組織の人が署名した事は証明してくれますが、悪意の有無は証明できません)
こう書かないとダメなんですね。わかります。
↓
ブラウザが最初から持っている証明書(webtrustCAを信用しなければならないが)を信用できるか?
↓
(ブラウザのインストーラーのコードサインニングを確認するため)OSの(あらかじめ)持っている証明書を信用できるか?
どうしても信用ならないのであればOSから自作してください。
というかネットに繋ぐな、直接会えない人とのやりとりのための通信技術なのだから。
(証明書はその組織の人が署名した事は証明してくれますが、悪意の有無は証明できません)
こう書かないとダメなんですね。わかります。
>>689-690
俺、間違えてるか?
不特定多数の中から、特定のクライアントのみ識別する必要があるなら認証局
(つーか、こういう場合は自前の認証局で良い)も有用だけど、
不特定多数全てを受け入れる場合(普通のWEBサーバ)、クライアントが証明書を持っている必要はまるで無い。
逆に、クライアントの立場からすれば、サーバの証明書の信頼性がない(現状すぐに上位機関から発行)以上、
URIを指定してアクセスした先のサーバを信頼せざるを得ない。
(成りすましかどうかは結局のところ認証局ではわからない)
俺、間違えてるか?
不特定多数の中から、特定のクライアントのみ識別する必要があるなら認証局
(つーか、こういう場合は自前の認証局で良い)も有用だけど、
不特定多数全てを受け入れる場合(普通のWEBサーバ)、クライアントが証明書を持っている必要はまるで無い。
逆に、クライアントの立場からすれば、サーバの証明書の信頼性がない(現状すぐに上位機関から発行)以上、
URIを指定してアクセスした先のサーバを信頼せざるを得ない。
(成りすましかどうかは結局のところ認証局ではわからない)
>>692
間違えてると言う以前に、全然理解できてないと思う。
間違えてると言う以前に、全然理解できてないと思う。
>>692にSSL認証がどういう仕組みだと思ってるのか説明してほしいよな
695 :DNS未登録さん:2008/07/06(日) 18:40:39 ID:wj9pEVao BE:490434375-2BP(450)
んじゃ 認証曲を認証する曲でもつくって 大儲けしろw
どんなメロディなんだろう?
私はスーパーアイドルー♪
日本のみんなの天使なの。
でも私も女の子。
恋する彼はみんなには秘密よ。
さぁ、私の鍵を開けてよ。
404なんていわないで。
セキュアー ソケットー レイヤー
日本のみんなの天使なの。
でも私も女の子。
恋する彼はみんなには秘密よ。
さぁ、私の鍵を開けてよ。
404なんていわないで。
セキュアー ソケットー レイヤー
もうちょっとSSL的にたのむ。
あと、CAが主人公または準主人公で。
あと、CAが主人公または準主人公で。
我、汝と秘密の言葉を取り交わさん
汝は我を知らず我も汝を知りえぬなり
互いの証しは生まれにある印なり
汝は我を知らず我も汝を知りえぬなり
互いの証しは生まれにある印なり
700 :DNS未登録さん:2008/07/09(水) 08:49:46 ID:9JLGEaND
前より値段が安くなってきたと感じるけど、どうだろうか?
携帯とかEVとか言い出さなければ十分安い
EVってなに?
EV SSLでググるんだ
>>702
エレベーターだろ。
エレベーターだろ。
80GBのHDDが100個近く山ほど余ってるんだが、
何か使い道ないんだろうか。
できれば集合させて、大容量の1台のHDDとして使いたいんだけど、
何か良い方法ある?できればRAID1で冗長性も持たせたい。
何か使い道ないんだろうか。
できれば集合させて、大容量の1台のHDDとして使いたいんだけど、
何か良い方法ある?できればRAID1で冗長性も持たせたい。
>>705
さっさと捨てて1TBのHDD買ったほうが経済的。
さっさと捨てて1TBのHDD買ったほうが経済的。
繋ぐための機材買うより大容量の新品買ったほうが安いな・・・
そもそも電気代がとんでもないことになりそうだし、
いくら昔の HDD が頑丈といっても 80台もあったら
壊れる確率もそれなりになるだろうな。
いくら昔の HDD が頑丈といっても 80台もあったら
壊れる確率もそれなりになるだろうな。
正しい指摘有難う。
でも、ここはにちゃんだし、雑談レスで何言ってるんだろう、この人。
友達いないんだろうな...。
でも、ここはにちゃんだし、雑談レスで何言ってるんだろう、この人。
友達いないんだろうな...。
Windows の Firefox では受け取った証明書を
どこに保存しているんでしょうか?
Windows が提供している証明書ストア?
だとするとそこは IE と共通?
それはそれで問題ないけど,ちょっと気になったもんで
どこに保存しているんでしょうか?
Windows が提供している証明書ストア?
だとするとそこは IE と共通?
それはそれで問題ないけど,ちょっと気になったもんで
713 :DNS未登録さん:2008/08/06(水) 17:07:44 ID:rsKsSR5l
なんか訳語が不統一でパニクってしまってるんですが、「Chained root」と「中間CA証明書」は同じものだと思っていいんでしょうか?
なかのディスクを取り出して文鎮として売る
715 :DNS未登録さん:2008/08/06(水) 23:16:47 ID:bX0UnxKm
http://sslreview.jp/content/table/index.html
このサイトって参考になりますか?
なぜ、この値段設定なのか分かりません。
ルート認証局のシングルルート証明書より、連鎖認証局の間接証明書の方が高いのはなぜでしょうか?
今日調べ始めたばかりなので、分からないことばかりです。
用語の使い方等が間違っていてたら、ごめんなさい。
あと、他に参考になるようないいサイトってあれば教えてください。
このサイトって参考になりますか?
なぜ、この値段設定なのか分かりません。
ルート認証局のシングルルート証明書より、連鎖認証局の間接証明書の方が高いのはなぜでしょうか?
今日調べ始めたばかりなので、分からないことばかりです。
用語の使い方等が間違っていてたら、ごめんなさい。
あと、他に参考になるようないいサイトってあれば教えてください。
中間CAよりルートCAの方が良いとは限らない
10分で証明先確認が終わるような安易なルートCAと、
企業の存在性を確認する中間CAのどっちが良いか?という話もある
10分で証明先確認が終わるような安易なルートCAと、
企業の存在性を確認する中間CAのどっちが良いか?という話もある
たとえばベリサインは用途によって中間証明書をわけてるだけで
ルート証明書も中間証明書もベリサインが管理してるので
中間証明書を失効される可能性はまずない。
comodo等の安定してるとは言えないとかかれたCAは
ルート証明書は別の会社がもっており、契約で中間証明書を証明してもらってるだけなので
契約違反や喧嘩別れなんかで中間証明書が突然失効される可能性がある。
ややきわどいのがcybertrust JAPANで
ルート証明書はcybertrustでcybertrust(米)がもってるんだけど
cybertrust JAPANは
出資が(米)cybertrustとヤフーグループ(ヤフーBB)の半々になってる為見捨てられる可能性が…
って感じでシングル証明書か中間証明書が必要かで
信用度や安定度がかわるわけじゃないのでそこで値段がわかれてるわけではなくて
普及率や、ブランド率、人の手がどれだけ介在してるかとか
保障範囲(金額)とか(大抵のSSLには保険が付いてる)
証明の範囲(実在証明付きだと高い)とか
そういったので大体値段帯がわかれてて
あとは競争なんかで各社の判断なんかで値段がきまるんだと思うよ
ルート証明書も中間証明書もベリサインが管理してるので
中間証明書を失効される可能性はまずない。
comodo等の安定してるとは言えないとかかれたCAは
ルート証明書は別の会社がもっており、契約で中間証明書を証明してもらってるだけなので
契約違反や喧嘩別れなんかで中間証明書が突然失効される可能性がある。
ややきわどいのがcybertrust JAPANで
ルート証明書はcybertrustでcybertrust(米)がもってるんだけど
cybertrust JAPANは
出資が(米)cybertrustとヤフーグループ(ヤフーBB)の半々になってる為見捨てられる可能性が…
って感じでシングル証明書か中間証明書が必要かで
信用度や安定度がかわるわけじゃないのでそこで値段がわかれてるわけではなくて
普及率や、ブランド率、人の手がどれだけ介在してるかとか
保障範囲(金額)とか(大抵のSSLには保険が付いてる)
証明の範囲(実在証明付きだと高い)とか
そういったので大体値段帯がわかれてて
あとは競争なんかで各社の判断なんかで値段がきまるんだと思うよ
718 :DNS未登録さん:2008/08/07(木) 01:08:49 ID:mn6uGCGF
あ、1こ嘘ついてた、comodoは(今では)自社でルート証明書持ってて最近のブラウザは対応してます。
不安定なCAの代表はtoritonですね。しょっちゅうルート証明書が変わってます
英語は苦手なので日本語のサイトをメインで回ってるのであまり自信がないけど
Chained root CA=中間認証局
Chained root Certificate=中間証明書
でないかな?
Chained CAなんて言葉もあって使い分け方がわかりません。
んで、どれが良いか?は状況によってかわってくるんじゃないかな?
よく分からないで変なCAに手出すと痛い目にあうので大手にしといたほうがいいよ
古い携帯に対応する必要がある場合
ベリサイン(ThawteのSGCもルートはベリサイン)
サイバートラスト(セコムもルートはサイバートラスト)
くらいしか選択肢がない
比較的新しい携帯だけでいいなら
ジオトラスト(QuickSSL Premium)系も選択肢にはいってくるかな
ほんとに最近のだけでいいならGlobalSign系もありだけど・・・
あんまり携帯対応を考えてない場合
企業実在証明まで必要ならベリサイン、サイバートラスト、thawte
必要ないならrapidSSLが安くていいんじゃないかな?
不安定なCAの代表はtoritonですね。しょっちゅうルート証明書が変わってます
英語は苦手なので日本語のサイトをメインで回ってるのであまり自信がないけど
Chained root CA=中間認証局
Chained root Certificate=中間証明書
でないかな?
Chained CAなんて言葉もあって使い分け方がわかりません。
んで、どれが良いか?は状況によってかわってくるんじゃないかな?
よく分からないで変なCAに手出すと痛い目にあうので大手にしといたほうがいいよ
古い携帯に対応する必要がある場合
ベリサイン(ThawteのSGCもルートはベリサイン)
サイバートラスト(セコムもルートはサイバートラスト)
くらいしか選択肢がない
比較的新しい携帯だけでいいなら
ジオトラスト(QuickSSL Premium)系も選択肢にはいってくるかな
ほんとに最近のだけでいいならGlobalSign系もありだけど・・・
あんまり携帯対応を考えてない場合
企業実在証明まで必要ならベリサイン、サイバートラスト、thawte
必要ないならrapidSSLが安くていいんじゃないかな?
721 :DNS未登録さん:2008/08/07(木) 18:19:26 ID:MjDiiGn/
722 :DNS未登録さん:2008/08/07(木) 18:23:13 ID:MjDiiGn/
あ、一番大事なのを忘れてました。
あと、主要なブラウザすべてに対応。
です。
あと、主要なブラウザすべてに対応。
です。
うーんthawteなら・・・と思ったけど、実在確認はするけど実在証明はしてないのか
DUNS NUMBER持ってるならTrueBusiness IDが代理店によっては4万前後だな
DUNS NUMBERは3000円〜で取れる
DUNS NUMBER持ってるならTrueBusiness IDが代理店によっては4万前後だな
DUNS NUMBERは3000円〜で取れる
あ、あと、cybertrust 0.5年なら42000円で取れるよw
>あと、主要なブラウザすべてに対応。
verisign しかないんじゃね?
携帯を含めなくていいのならばほかにもあるけど。
verisign しかないんじゃね?
携帯を含めなくていいのならばほかにもあるけど。
>>725 verisignとcybertrustは携帯のカバー率ほとんどかわらない
携帯はともかくNintendoDSも相手したかったらverisignしかねーな。
携帯いらんでPCのブラウザだけでよければ安いところはたくさんある。
携帯いらんでPCのブラウザだけでよければ安いところはたくさんある。
カバー率ってどうやればわかるのでしょうか?
実際に携帯やブラウザを調べて?
実際に携帯やブラウザを調べて?
SSLにカバー率なんかあるのかよ
それはありますよもちろん
731 :DNS未登録さん:2008/08/12(火) 10:15:51 ID:RknXnXjb
話を戻す
認証されてないで暗号化だけでは意味がないといいながら
Digest認証なんてものが世の中に存在する不思議
認証されてないで暗号化だけでは意味がないといいながら
Digest認証なんてものが世の中に存在する不思議
digest認証でリクエストやレスポンスが保護できるのか?
本気でいってるのか、釣りで言ってるのかよく判らないだが・・・
Digest認証は共通暗号鍵方式で事前に安全な方法で秘密鍵のやり取りが必要。
サーバがアクセス者が本人かどうかBASIC認証よりは安全に確認(認証)するのが目的で
ID/PASS以外のリクエストやコンテンツが改竄/盗聴されてるかどうかは守備範囲外
BASIC認証にくらべてDigest認証のほうが
・ID/PASSを非可逆性の暗号化してるので盗聴やフィッシングされてもダメージが少ない
・ワンタイム性の高い認証方法なので盗聴されてもダメージが少ない(サーバの実装に依存する)
程度の仕組みで
RFCに「最近の暗号に比べて安全であるとはいえない」って書かれてるし
どんな攻撃にどう脆弱なのかもある程度まとまってる。
SSLは公開鍵暗号方式で事前に秘密鍵の交換の必要がない。
通信内容が(双方向に)盗聴/改竄されないようにするのが目的で通信内容を可逆性の暗号化する。
相手先がだれか保証できない場合、暗号化しても意味が無い為信頼のある第3者に署名してもらう必要がある。・・・のは理解できるよね?
目的も守るべき内容も違うのでどっちが先に実装したかなんて問題じゃないし存在してても不思議じゃない
Digest認証は共通暗号鍵方式で事前に安全な方法で秘密鍵のやり取りが必要。
サーバがアクセス者が本人かどうかBASIC認証よりは安全に確認(認証)するのが目的で
ID/PASS以外のリクエストやコンテンツが改竄/盗聴されてるかどうかは守備範囲外
BASIC認証にくらべてDigest認証のほうが
・ID/PASSを非可逆性の暗号化してるので盗聴やフィッシングされてもダメージが少ない
・ワンタイム性の高い認証方法なので盗聴されてもダメージが少ない(サーバの実装に依存する)
程度の仕組みで
RFCに「最近の暗号に比べて安全であるとはいえない」って書かれてるし
どんな攻撃にどう脆弱なのかもある程度まとまってる。
SSLは公開鍵暗号方式で事前に秘密鍵の交換の必要がない。
通信内容が(双方向に)盗聴/改竄されないようにするのが目的で通信内容を可逆性の暗号化する。
相手先がだれか保証できない場合、暗号化しても意味が無い為信頼のある第3者に署名してもらう必要がある。・・・のは理解できるよね?
目的も守るべき内容も違うのでどっちが先に実装したかなんて問題じゃないし存在してても不思議じゃない
どこの話に戻ったのかよくわからないけど、
・通信の暗号化だけしたいのに馬鹿高い証明書買わせるんじゃねーよボケ
・相手が誰か証明できないのに暗号化なんて意味ないだろバーカ
・じゃあ何故SSLより後にDigest認証なんてできたんだ?←いまここ
ってことであってる?
・通信の暗号化だけしたいのに馬鹿高い証明書買わせるんじゃねーよボケ
・相手が誰か証明できないのに暗号化なんて意味ないだろバーカ
・じゃあ何故SSLより後にDigest認証なんてできたんだ?←いまここ
ってことであってる?
Digest認証は暗号じゃ無いよ。ハッシュだから秘密鍵なんか無い。
ID/PASS(とrealm)、またはそれらのハッシュ(互いにしか知らない要素)が
なければ、正しいリクエストが飛ばせないので
秘密鍵であってると思うんだけどなんか違う呼び方あるの?
なければ、正しいリクエストが飛ばせないので
秘密鍵であってると思うんだけどなんか違う呼び方あるの?
Digest認識はハッシュだな。
CHAPと同じ。
CHAPと同じ。
Digest認証わかってないやつが なんでSSL理解できるんだか
復号できないのは暗号化ではないという認識だと
MD5で実装されてるcrypt(3)は暗号化ではない(orとは言わない)
ということですか?
自分の知ってる範囲では暗号化と呼ばれてます。
ただのハッシュで秘密鍵なんかない。ということは
IDもPASSもそれらのハッシュも第3者に知られても影響は無いという事ですか?
言葉尻つかまえてつっこみたいだけですかね?
MD5で実装されてるcrypt(3)は暗号化ではない(orとは言わない)
ということですか?
自分の知ってる範囲では暗号化と呼ばれてます。
ただのハッシュで秘密鍵なんかない。ということは
IDもPASSもそれらのハッシュも第3者に知られても影響は無いという事ですか?
言葉尻つかまえてつっこみたいだけですかね?
crypt は厳密な意味では暗号じゃないよ。
厳密な定義をうんぬんする必要のない文脈でめんどくさいから便宜上暗号と呼ぶだけ。
厳密な定義をうんぬんする必要のない文脈でめんどくさいから便宜上暗号と呼ぶだけ。
平文じゃなきゃ、ただの符号化でも暗号化で通じたりする。
みんな分かってるから細かい事は言わない。
みんな分かってるから細かい事は言わない。
>>743
> ただのハッシュで秘密鍵なんかない。ということは
> IDもPASSもそれらのハッシュも第3者に知られても
> 影響は無いという事ですか?
何でそんなわけわからん結論になるんだ?
他人に言葉尻云々言う前に、もうちょっと勉強しなよ。
> ただのハッシュで秘密鍵なんかない。ということは
> IDもPASSもそれらのハッシュも第3者に知られても
> 影響は無いという事ですか?
何でそんなわけわからん結論になるんだ?
他人に言葉尻云々言う前に、もうちょっと勉強しなよ。
ID はなまで送っているから見られちゃうね。そこが暗号とハッシュの違いかも。
流れがよく判らないんだが734の
> Digest認証は共通暗号鍵方式で事前に安全な方法で秘密鍵のやり取りが必要。
これが問題になってるのか?
> Digest認証は共通暗号鍵方式で事前に安全な方法で秘密鍵のやり取りが必要。
これが問題になってるのか?
共通暗号鍵方式で使うのは共有鍵だろ。
問題自体がバグってる
問題自体がバグってる
暗号化側と復号化側で「共有の鍵」を持つ必要があるが、その鍵は他者には
「秘密」にする必要がある。
なので、秘密鍵と言うのは間違っちゃない、というか普通にそう言う。
「秘密」にする必要がある。
なので、秘密鍵と言うのは間違っちゃない、というか普通にそう言う。
共通で持っている情報はパスワードだけ。
パスワードを秘密鍵とは呼ばないだろ。
パスワードを秘密鍵とは呼ばないだろ。
はいはい、世界の中心は自分だと思いたいんですね、わかります。
754 :DNS未登録さん:2008/09/05(金) 10:18:32 ID:tU0DcbbG
ここで質問って良いですか?
急ぎで確認しなくてはいけないのですが、検索できずに困っています。
ベリサイン発行のテスト用サーバIDを用いて、携帯電話からSSL接続を
確認したいと思っています。
以下の証明書を使用
http://www.verisign.co.jp/ssl/trialserver/index.html
上記のURLにもあるように携帯電話からテストを行えないケースが
あるようですが、どういった場合に出来ないか?
教えてください。
やりたいこととしては、上記URLのテスト用サーバIDを使用して
3キャリア(DoCoMo、au、SoftBank)からSSL接続を
行い、テスト環境にて開発したWEBサイトのテストを行いたいと思っています。
よろしくお願いします。
急ぎで確認しなくてはいけないのですが、検索できずに困っています。
ベリサイン発行のテスト用サーバIDを用いて、携帯電話からSSL接続を
確認したいと思っています。
以下の証明書を使用
http://www.verisign.co.jp/ssl/trialserver/index.html
上記のURLにもあるように携帯電話からテストを行えないケースが
あるようですが、どういった場合に出来ないか?
教えてください。
やりたいこととしては、上記URLのテスト用サーバIDを使用して
3キャリア(DoCoMo、au、SoftBank)からSSL接続を
行い、テスト環境にて開発したWEBサイトのテストを行いたいと思っています。
よろしくお願いします。
755 :DNS未登録さん:2008/09/05(金) 11:36:20 ID:tU0DcbbG
754です。
板違いだったようなので、質問を移動します。
板違いだったようなので、質問を移動します。
756 :DNS未登録さん:2008/09/06(土) 03:09:17 ID:shcJbttH
むかーし、認証局自分で立てて、
今は無いネスケの4.7に証明書入れてhTTP+SSLサーバを立てたことがあるんだけど、ほとんど忘れてしまってる程度の人間から質問です。
(ぐぐれって言わないで)
httpsってhttpのヘッダは暗号化しないよね?内容だけだよね?違ったっけ?
で、別に認証はしなくても良いから、暗号化だけしたいって場合、
Javascriptに公開鍵用意して、自分で暗号化して、ajaxでも使ってやり取りすれば良くね?
あとは、サーバ側でCGIにするかapacheに何かかませるかって感じで。
そもそも、認証してサイトの身元を確認したいなんて人はWEBじゃ少数な気がする。
(自宅サーバ前提ね。)
このスレ見てて、ふと思った。
今は無いネスケの4.7に証明書入れてhTTP+SSLサーバを立てたことがあるんだけど、ほとんど忘れてしまってる程度の人間から質問です。
(ぐぐれって言わないで)
httpsってhttpのヘッダは暗号化しないよね?内容だけだよね?違ったっけ?
で、別に認証はしなくても良いから、暗号化だけしたいって場合、
Javascriptに公開鍵用意して、自分で暗号化して、ajaxでも使ってやり取りすれば良くね?
あとは、サーバ側でCGIにするかapacheに何かかませるかって感じで。
そもそも、認証してサイトの身元を確認したいなんて人はWEBじゃ少数な気がする。
(自宅サーバ前提ね。)
このスレ見てて、ふと思った。
>httpsってhttpのヘッダは暗号化しないよね?内容だけだよね?違ったっけ?
違った。
(この時点でそれ以下は読んでいない)
違った。
(この時点でそれ以下は読んでいない)
758 :DNS未登録さん:2008/09/06(土) 07:18:51 ID:shcJbttH
>>758
SSLなパケットをデコードするのにhttpヘッダが必要な理由がわからない。
SSLなパケットをデコードするのにhttpヘッダが必要な理由がわからない。
httpsってhttp over SSLだぜ・・・SSLでラッピングしてしまうんだぜ・・・
>>756
ヘッダから暗号化してしまうのでproxyを通すときが厄介ともいう。
ヘッダから暗号化してしまうのでproxyを通すときが厄介ともいう。
762 :DNS未登録さん:2008/09/06(土) 10:56:34 ID:t14WV4kh
IEだとオレオレ証明書を一時的に受け入れるのはワンクリックだけど
Firefoxだと結構面倒だな
Firefoxだと結構面倒だな
763 :DNS未登録さん:2008/09/07(日) 08:21:55 ID:HFNtmx3e
764 :DNS未登録さん:2008/09/07(日) 08:32:03 ID:HFNtmx3e
証明書の有効性がわからないんだけど・・。
証明書って、公開鍵の身元保証で、つまり、サイトの身元保証だけど、
WEB使ってて、そのサイトが「身元保証されてます。」なんて誰も気にしないじゃない。
誰も気にしないからフィッシングサイトが出てくるわけで・・。
証明書って、公開鍵の身元保証で、つまり、サイトの身元保証だけど、
WEB使ってて、そのサイトが「身元保証されてます。」なんて誰も気にしないじゃない。
誰も気にしないからフィッシングサイトが出てくるわけで・・。
SSLの目的を考えたらヘッダだけ残すなんてこたーしないだろ。
プロトコルにも依存しちまうし。
>WEB使ってて、そのサイトが「身元保証されてます。」なんて誰も気にしないじゃない。
俺は気にするぜ
オレオレ証明書で運用中の商用サイトを晒すスレ
http://pc11.2ch.net/test/read.cgi/sec/1129490390/l50
プロトコルにも依存しちまうし。
>WEB使ってて、そのサイトが「身元保証されてます。」なんて誰も気にしないじゃない。
俺は気にするぜ
オレオレ証明書で運用中の商用サイトを晒すスレ
http://pc11.2ch.net/test/read.cgi/sec/1129490390/l50
768 :>>766 じゃないけど:2008/09/07(日) 12:12:13 ID:???
ん? なんか変か?
「通信 ⇒ 通信するデータ」とした方が誤解が少ないとは思うけど、
このスレの住人なら大丈夫だと思うぞ。
「通信 ⇒ 通信するデータ」とした方が誤解が少ないとは思うけど、
このスレの住人なら大丈夫だと思うぞ。
>>764
個別のユーザーは、気にしたくないなら気にしなくてもいい。
リアル世界でも、オレオレ詐欺の電話の内容を信じたいなら信じてもいいし、
銀行やカード会社宛の登録書類を透明封筒に入れて送りたいなら送ったっていい。
身元保証と通信の暗号化を気にしないのは、そのリスクをちゃんと
引き受けるのであれば、自己責任ということで、アリだ。
でも、サービス提供側は、何か問題が発生したときにも
「ユーザーがそれを確認or利用しなかったのは自己責任であって、
こちらとしてはフィッシングやMITMや経路上スニッフィングを
防ぐための最大限の努力はいたしました」と言うための努力は
せないかんのよ。
個別のユーザーは、気にしたくないなら気にしなくてもいい。
リアル世界でも、オレオレ詐欺の電話の内容を信じたいなら信じてもいいし、
銀行やカード会社宛の登録書類を透明封筒に入れて送りたいなら送ったっていい。
身元保証と通信の暗号化を気にしないのは、そのリスクをちゃんと
引き受けるのであれば、自己責任ということで、アリだ。
でも、サービス提供側は、何か問題が発生したときにも
「ユーザーがそれを確認or利用しなかったのは自己責任であって、
こちらとしてはフィッシングやMITMや経路上スニッフィングを
防ぐための最大限の努力はいたしました」と言うための努力は
せないかんのよ。
770 :DNS未登録さん:2008/09/07(日) 13:19:52 ID:HFNtmx3e
>>766
暗号と証明書は基本的には関係ないでしょう。
たとえば、証明書を省いて公開鍵を直接渡すような仕組みがあっても
(今は無いけど)暗号化の面では問題ない。
>>765
>>769
そりゃあ、ここの住人は気にするだろ。知識があるんだから。
ただ、一般のユーザが、「証明書があるから、このサイトは本物だ。問題ない。」
なんてことをいちいち気にかけるとは思えない。
せいぜい、「なんか暗号化されてるっって書いてるから、大丈夫だろう。」って暗号を気にするくらいで、
成りすましの危険については認知されてるとは思えない。
そもそも、証明書があったって信用なんか出来ない。
証明書なんて、金で買えるし、サブ認証(?だっけ)で問題ないんじゃなかったっけ?
暗号と証明書は基本的には関係ないでしょう。
たとえば、証明書を省いて公開鍵を直接渡すような仕組みがあっても
(今は無いけど)暗号化の面では問題ない。
>>765
>>769
そりゃあ、ここの住人は気にするだろ。知識があるんだから。
ただ、一般のユーザが、「証明書があるから、このサイトは本物だ。問題ない。」
なんてことをいちいち気にかけるとは思えない。
せいぜい、「なんか暗号化されてるっって書いてるから、大丈夫だろう。」って暗号を気にするくらいで、
成りすましの危険については認知されてるとは思えない。
そもそも、証明書があったって信用なんか出来ない。
証明書なんて、金で買えるし、サブ認証(?だっけ)で問題ないんじゃなかったっけ?
>>770
で、どうするの?
一般のユーザはインターネット使うの止めさせるのか?
車使わなきゃ、交通事故が激減すると言ってる奴と大して変わらない。
もしそう言う主張をしたければ、こんなところでくすぶっててもしょうがないぞ。
で、どうするの?
一般のユーザはインターネット使うの止めさせるのか?
車使わなきゃ、交通事故が激減すると言ってる奴と大して変わらない。
もしそう言う主張をしたければ、こんなところでくすぶっててもしょうがないぞ。
773 :DNS未登録さん:2008/09/07(日) 18:14:42 ID:HFNtmx3e
それなら自分の日記帳にでも書いておいてくれ。
jpドメインのssl買うんだけどcsrの申請者って日本語入っててもいいのかな
入れない方が吉
ベリサインだとエラーがでる
778 :i219-167-27-216.s06.a011.ap.plala.or.jp :2008/09/15(月) 00:10:19 ID:???
>>762
だがそれがいい
だがそれがいい
781 :609:2008/09/30(火) 22:42:23 ID:yakzYQ4W
Namecheap で PossitiveSSL(comodo) が1年分無料 (通常価格 $9.95/yr)
http://www.namecheap.com/learn/ssl-certificates/free-positive-ssl-certificates.asp
注: ドメインの新規登録、移管などの購入が条件。(.info($2.98)がおすすめ)
注: カートで「Get Comodo PositiveSSL for FREE EXCLUSIVE! 」をクリックする必要があります。
かなり前からやっていたようですが、気づきませんでした…
http://www.namecheap.com/learn/ssl-certificates/free-positive-ssl-certificates.asp
注: ドメインの新規登録、移管などの購入が条件。(.info($2.98)がおすすめ)
注: カートで「Get Comodo PositiveSSL for FREE EXCLUSIVE! 」をクリックする必要があります。
かなり前からやっていたようですが、気づきませんでした…
782 :DNS未登録さん:2008/10/02(木) 01:33:12 ID:dZPAIoNj
企業認証SSLって、なんか意味あんの?
架空の企業であっても、目的のサイトであることが証明されれば
問題ないんだと思うんだが・・・
ちょっと値段が違いすぎるんで、ワレの知らないなにか、
もっと超凄いメリットがあるのかと?
架空の企業であっても、目的のサイトであることが証明されれば
問題ないんだと思うんだが・・・
ちょっと値段が違いすぎるんで、ワレの知らないなにか、
もっと超凄いメリットがあるのかと?
レコードレーベルが違法コピー対策してるのと同じ。
効果云々より「示し」が重要。
効果云々より「示し」が重要。
>>782
新手のボッタクリ手段。
新手のボッタクリ手段。
企業認証
ドメイン名と企業名の対応を証明書の中で保証するよっていうサービス
EV
その保証したことをアドレスバーに表示するようにしたよっていうサービス
ドメイン名と企業名の対応を証明書の中で保証するよっていうサービス
EV
その保証したことをアドレスバーに表示するようにしたよっていうサービス
787 :DNS未登録さん:2008/10/08(水) 03:58:46 ID:B+Y8vpAt
httpsのSSLでのアクセスを想定したCGIなどのファイルに、
通常のhttpのような非SSLでのアクセスをブロックするにはどうすればよいのですか?
通常のhttpのような非SSLでのアクセスをブロックするにはどうすればよいのですか?
自鯖のポートでも見てればOK。
非SSLでアクセスできるところに、設置しないのがいいと思うけど。
非SSLもSSLも同じディレクトリという制約があるなら、環境変数を見て判別するのがいいんじゃないかな。
ポートで見るのでも、いいかも知んないけどやったこと無いな。
非SSLもSSLも同じディレクトリという制約があるなら、環境変数を見て判別するのがいいんじゃないかな。
ポートで見るのでも、いいかも知んないけどやったこと無いな。
非SSLもSSLも同じディレクトリという制約があります。
サーバー関係初心者なもので、環境変数やポートの具体的な方法を教えていただけないでしょうか?
よろしくお願いします。
サーバー関係初心者なもので、環境変数やポートの具体的な方法を教えていただけないでしょうか?
よろしくお願いします。
>>787
CGIで環境変数を確認すればいい。
CGIで環境変数を確認すればいい。
793 :sage:2008/10/08(水) 10:40:01 ID:GZFoqwLZ
$ENV{'SERVER_PORT'}
他にもあると思うけど。
他にもあると思うけど。
795 :DNS未登録さん:2008/10/08(水) 18:33:54 ID:MXC22W7T
なんで自宅サーバーなのにそんな制約があるんだよ
そもそも非SSLは提供しなきゃいいだろ
そもそも非SSLは提供しなきゃいいだろ
トリトンがいつの間にかglobalsignのリセラーになってた。
なんていうか、質問者は自鯖だとか言って無くないか?
まぁPHPの場合なら
$_SERVER['HTTPS'] = onならSSL
$_SERVER['SERVER_PORT'] = 443 ならSSL
この辺の値はwebサーバが出したり出さなかったり、名前が違ったりするので注意が必要。
仕様としては以下。
http://hoohoo.ncsa.uiuc.edu/cgi/env.html
この仕様にHTTPSがのってないので、
別の言語とかwebサーバによっては無いかも知んない。
でも何かしら別名であると思うけど。
SSL_PROTOCOLとか。
まぁPHPの場合なら
$_SERVER['HTTPS'] = onならSSL
$_SERVER['SERVER_PORT'] = 443 ならSSL
この辺の値はwebサーバが出したり出さなかったり、名前が違ったりするので注意が必要。
仕様としては以下。
http://hoohoo.ncsa.uiuc.edu/cgi/env.html
この仕様にHTTPSがのってないので、
別の言語とかwebサーバによっては無いかも知んない。
でも何かしら別名であると思うけど。
SSL_PROTOCOLとか。
なんていうか、ここは何の板だっけ?
SSLに関するスレ だろ。
宅鯖なんだから好き放題できる筈。
>>787
制限するだけなら.htaccessでSSLRequireSSLを使うのが簡単で確実。
<Files>〜</Files>で使えば個別ファイルに指定できるし、
403エラーを返すので、別途エラーページを用意すればユーザにも優しい。
ファイル名に正規表現をつかえば、CGIのみを対象とする事も可能でしょう。
制限するだけなら.htaccessでSSLRequireSSLを使うのが簡単で確実。
<Files>〜</Files>で使えば個別ファイルに指定できるし、
403エラーを返すので、別途エラーページを用意すればユーザにも優しい。
ファイル名に正規表現をつかえば、CGIのみを対象とする事も可能でしょう。
× <Files>〜</Files>で使えば個別ファイルに指定できるし、
○ <Files>〜</Files>内で使えば個別ファイルも指定できるし、
○ <Files>〜</Files>内で使えば個別ファイルも指定できるし、
>>800
心の狭い人ですね…
心の狭い人ですね…
意味がわからん。
ここの \3,600- コースはどうかな?
https://yt.com/sc/
https://yt.com/sc/
GlobalSignって1ライセンスでサーバ3台まで使えるんだね。
http://www.globalsign.com/digital_certificate/options/licenses.htm
※日本語サイトには記述なし。
http://www.globalsign.com/digital_certificate/options/licenses.htm
※日本語サイトには記述なし。
807 :DNS未登録さん:2009/01/09(金) 21:06:27 ID:arETUyon
きたよーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
MD5アルゴリズムへの攻撃で、証明書の偽造が可能に--JPCERT/CCが注意喚起
http://japan.zdnet.com/news/sec/story/0,2000056194,20386304,00.htm?ref=rss
MD5アルゴリズムへの攻撃で、証明書の偽造が可能に--JPCERT/CCが注意喚起
http://japan.zdnet.com/news/sec/story/0,2000056194,20386304,00.htm?ref=rss
未だ>>781より安いところが見つからん・・・!
ワケワカランとかに移管とかしたくないし。
http://www.namecheap.com/learn/other-services/ssl-certificates.asp
1年だと誤差の範囲だけど、5年では50USDぐらい安くあがる。
1年だと誤差の範囲だけど、5年では50USDぐらい安くあがる。
やっぱ携帯未対応だときついな・・・
コード署名証明書って個人では発行してもらえないのか。。
久々に携帯に入ってるルート証明書情報見たんだけど、最近のDoCoMoとauはAddTrust External CA Root入ってるのな。
クロストラストが頑張ったんだろうけど。
ということで試しにPositiveSSL買ってauで試したら見事に通ったよ。
クロストラストが頑張ったんだろうけど。
ということで試しにPositiveSSL買ってauで試したら見事に通ったよ。
SSL/TLSで、問題点として暗号が古くなると使えないとか、
古い暗号が残る(SSL2.0とか)とか、そういう問題があるじゃん。
じゃあ、暗号用数式も一緒に送ればいいじゃん。
そうすれば最新の硬い暗号使えるわけだし。
鍵交換してどうこうする前に、そういうことはできないのか?
キーは元サイトから、数式は認証局からとか、そうすれば安全性も上がるかも?
いろいろ出来るんじゃないかと思うんだけど
古い暗号が残る(SSL2.0とか)とか、そういう問題があるじゃん。
じゃあ、暗号用数式も一緒に送ればいいじゃん。
そうすれば最新の硬い暗号使えるわけだし。
鍵交換してどうこうする前に、そういうことはできないのか?
キーは元サイトから、数式は認証局からとか、そうすれば安全性も上がるかも?
いろいろ出来るんじゃないかと思うんだけど
SSL/TLSはプロトコルであって、暗号は相互に合意したものを選んで使ってる。
SSL 2.0は暗号じゃなくてプロトコルが脆弱で、
無理やり弱い暗号で合意させられうるってこと。
新しい暗号について、数式かアルゴリズム送って、
最適なプログラムを合成してくれるんならいいけど、
現状無理なので、遅すぎて使いものにならないかもな。
SSL 2.0は暗号じゃなくてプロトコルが脆弱で、
無理やり弱い暗号で合意させられうるってこと。
新しい暗号について、数式かアルゴリズム送って、
最適なプログラムを合成してくれるんならいいけど、
現状無理なので、遅すぎて使いものにならないかもな。
>>815
暗号用数式を暗号化する必要がある訳だが、その辺はどうするんだ?
暗号用数式を暗号化する必要がある訳だが、その辺はどうするんだ?
RSA暗号とかも数式は公開されてるだろ?
公開されてなかったら実装しようがないし。
公開されてなかったら実装しようがないし。
暗号の数式を送る、って
脆弱なアルゴリズムを送りこんで遊ばれる、というステキなシナリオが目に浮かぶ。
脆弱なアルゴリズムを送りこんで遊ばれる、というステキなシナリオが目に浮かぶ。
DoSはありうるな。
822 :蕪木ら某 ◆Googl8RmwA :2009/02/24(火) 00:26:45 ID:???
NonIP SSLってまだやってる?
ページが見当たらないんだけど。
ページが見当たらないんだけど。
http://www.jcert.co.jp/ いつになったら販売開始するん?
b.example.comにa.example.com用の証明書が使われていた場合、
b.example.comはa.example.comと同じ運営者だって証明になる?
アクセスする側にはどんなリスクがある?
b.example.comはa.example.comと同じ運営者だって証明になる?
アクセスする側にはどんなリスクがある?
ぜんぜん証明になんかならない
なんで?
>>830
証明できない。例えその事をサイト上で説明したとしても、その説明に信頼性がない。
リスクとしてはb.example.comのドメインオーナーがa.example.comの証明書を不正使用してなりすましの可能性がある。
これが証明できない理由。実際にはブラウザ等のクライアント側で何らかの警告や接続しない等の処理がされる。
証明できない。例えその事をサイト上で説明したとしても、その説明に信頼性がない。
リスクとしてはb.example.comのドメインオーナーがa.example.comの証明書を不正使用してなりすましの可能性がある。
これが証明できない理由。実際にはブラウザ等のクライアント側で何らかの警告や接続しない等の処理がされる。
a.example.com用の証明書を使うにはa.example.comの管理者が持ってる秘密鍵が必要な訳で、
a.example.comの管理者がそのページを表示しているのは確かだろう。ちゃんと署名されていることが前提だが。
ただ、a.example.comの管理者がb.example.comの正当な管理者であることは証明されないので意味はない。
WildcardやSubjectAltNameを使った証明書であればb.example.comの正当な管理者であることも証明出来るしブラウザから警告されることもない。
a.example.comの管理者がそのページを表示しているのは確かだろう。ちゃんと署名されていることが前提だが。
ただ、a.example.comの管理者がb.example.comの正当な管理者であることは証明されないので意味はない。
WildcardやSubjectAltNameを使った証明書であればb.example.comの正当な管理者であることも証明出来るしブラウザから警告されることもない。
個人登録可能、主要ブラウザはもちろん携帯でも使えてフリーまたは低価格
そんな都合のいい認証局ってありますか?
そんな都合のいい認証局ってありますか?
低価格の解釈をどのように見るかで違うから分からないが、freeは無い。
subjectAltName使える最安のCAを教えてください。
まともに対応してるのはCSPくらい?
あとグローバルサインはwww.example.comで取得するとexample.comが付いてくる。
あとグローバルサインはwww.example.comで取得するとexample.comが付いてくる。
Rapid-SSL のルートが変わり、\3,200で携帯対応になるらしい。
ttp://www.rapid-ssl.jp/
ttp://www.rapid-ssl.jp/rapidssl-news/
現ルート証明書:Equifax Secure Global eBusiness CA-1
新ルート証明書:Equifax Secure Certificate Authority
ttp://www.rapid-ssl.jp/
ttp://www.rapid-ssl.jp/rapidssl-news/
現ルート証明書:Equifax Secure Global eBusiness CA-1
新ルート証明書:Equifax Secure Certificate Authority
ってことは、今までのQuick SSL Premium相当の携帯対応になるってことだね。
早速、28日の夜にRapid-SSLから証明書を取得してみたが
Equifax Secure Global eBusiness CA-1 のままだった。
Equifax Secure Certificate Authority を取れた人いる?
Equifax Secure Global eBusiness CA-1 のままだった。
Equifax Secure Certificate Authority を取れた人いる?
つ 時差
つ ルート変更作業遅延のお知らせ
先ほど購入してみたらルートが切り替わってた。
847 :DNS未登録さん:2009/06/04(木) 17:29:59 ID:hO3QNrpg
Fedora10+openSSLなんだけどhttpsで接続するとサイト名が一致しないって怒られます
httpsで接続すると「この証明書はwww.ogehoge.comにだけ有効です」
と書かれており、よく見るとアドレスが1字抜けていました
ネットワーク設定→DNSタブ→ホスト名が「www.ogehoge.com」になっていたので訂正したのですが
アクセスしてみると変わっていないのです
他にも修正しなくてはいけない場所があると思いますが、どこを修正すればいいのか判りません
なにかアドバイスはありませんか?
httpsで接続すると「この証明書はwww.ogehoge.comにだけ有効です」
と書かれており、よく見るとアドレスが1字抜けていました
ネットワーク設定→DNSタブ→ホスト名が「www.ogehoge.com」になっていたので訂正したのですが
アクセスしてみると変わっていないのです
他にも修正しなくてはいけない場所があると思いますが、どこを修正すればいいのか判りません
なにかアドバイスはありませんか?
>>842
Namecheap.comのキャンペーン>>781まだ続いてるから
$2.98で.info登録して
PositiveSSL発行して
乗り換え
→$2.98で携帯対応SSL証明書
これすげーうまくね?
Namecheap.comのキャンペーン>>781まだ続いてるから
$2.98で.info登録して
PositiveSSL発行して
乗り換え
→$2.98で携帯対応SSL証明書
これすげーうまくね?
あーあ言っちまった。
認証局の存在が、暗号化の普及を阻害しているような気がしてならないんだけど…
ブラウザも、このサイトは安全ではありません、なんて表示するのは止めて欲しい。
ブラウザも、このサイトは安全ではありません、なんて表示するのは止めて欲しい。
>>852
日本語で
日本語で
相手が誰かもわからないなら暗号化したって意味なし
>>855
co.jp のサイトなんかでは?
大企業では無く、街の中小企業で簡単なメールフォームなど設置するような場合。
ネットバンクなどで利用するなら、認証局も意味があるかもしれないけれど、
クリティカルでは無いような利用も、沢山あると思うんだけど。
俺は、認証局ビジネス自体に良い印象を持てない。
co.jp のサイトなんかでは?
大企業では無く、街の中小企業で簡単なメールフォームなど設置するような場合。
ネットバンクなどで利用するなら、認証局も意味があるかもしれないけれど、
クリティカルでは無いような利用も、沢山あると思うんだけど。
俺は、認証局ビジネス自体に良い印象を持てない。
クリティカルでないなら暗号化自体不要。
暗号化したいなら相手が誰かわかってないと無意味。
認証局がいやなら、自分で証明書のフィンガープリントを配り歩く。
その手間をはぶくのが認証局。
暗号化したいなら相手が誰かわかってないと無意味。
認証局がいやなら、自分で証明書のフィンガープリントを配り歩く。
その手間をはぶくのが認証局。
オレオレ証明も?
>>858
君も理解しきれてないように思えます
君も理解しきれてないように思えます
>認証無しだとプロキシで解読可能なんだな。
説明を図入りでkwsk
説明を図入りでkwsk
答えは
>>855
だろ
相手以外に見られないために何で暗号化するんだから、
相手を確認しないで暗号化するのは無意味
逆に、相手を確認しないで暗号化するってのは、
何のために暗号化をしたいのかを聞きたい
>>855
だろ
相手以外に見られないために何で暗号化するんだから、
相手を確認しないで暗号化するのは無意味
逆に、相手を確認しないで暗号化するってのは、
何のために暗号化をしたいのかを聞きたい
なにやら頭のおかしい人が紛れ込んでるな。
ググれない奴に鯖立てる資格なし
865 :DNS未登録さん:2009/06/15(月) 19:46:52 ID:9oiq2/xF
何で暗号化するんだから?
>>857
クリティカルじゃないなら、暗号化自体不要って事は無いと思うが。
お問い合わせフォームとか、体裁&閲覧者の安心の為に一応暗号化しときたい、
というような需要は、中小企業では結構あると思う。
>>862
認証局の存在証明程度なら、co.jp ドメインでも肩代わりできないかな?
co.jp は、取得するのに書類必要だし。
クリティカルじゃないなら、暗号化自体不要って事は無いと思うが。
お問い合わせフォームとか、体裁&閲覧者の安心の為に一応暗号化しときたい、
というような需要は、中小企業では結構あると思う。
>>862
認証局の存在証明程度なら、co.jp ドメインでも肩代わりできないかな?
co.jp は、取得するのに書類必要だし。
体裁?一応の暗号化?
たのむからそういうシステムを作らないでくれ。
閲覧者に何の役にもたたない偽の安心を与えないでくれ。
たのむからそういうシステムを作らないでくれ。
閲覧者に何の役にもたたない偽の安心を与えないでくれ。
>>866
>co.jp は、取得するのに書類必要だし。
今月2社の.co.jp登録代行したけど謄本等の要求はなかった
法人の存在証明とSSL証明書は完全なイコールではない
PositiveSSLなんかは存在証明はせずドメイン所有権確認だけ
>co.jp は、取得するのに書類必要だし。
今月2社の.co.jp登録代行したけど謄本等の要求はなかった
法人の存在証明とSSL証明書は完全なイコールではない
PositiveSSLなんかは存在証明はせずドメイン所有権確認だけ
仮に*.co.jpの所有者が正確に把握できるとしても、
DNSで得たつもりのIPアドレスが正しい保証なんかない。
DNSで得たつもりのIPアドレスが正しい保証なんかない。
>>866
他の人も書いてるが、
出来るか出来ないかと言えば出来ない
なぜならば、接続してる先が本当にそのドメインを取得した人とは限らないから
DNSの応答を信用するって言うなら、
通信経路を信用するってのと変わらんから
暗号化してもしなくても一緒
普通は、通信経路を信用できないから暗号化する
他の人も書いてるが、
出来るか出来ないかと言えば出来ない
なぜならば、接続してる先が本当にそのドメインを取得した人とは限らないから
DNSの応答を信用するって言うなら、
通信経路を信用するってのと変わらんから
暗号化してもしなくても一緒
普通は、通信経路を信用できないから暗号化する
>>871
通信経路が信用できないんならOSデフォルトの証明書も信頼できん罠
通信経路が信用できないんならOSデフォルトの証明書も信頼できん罠
>>872
それはレイヤが違う話だろw
それはレイヤが違う話だろw
ふつうのWindows+IEユーザでもか?
輸送経路が信頼できないとかって、どんだけ壮大な妄想かと。
もしOS(というかブラウザ)を信頼できない通信で入手した場合は
別の信頼できる通信でそいつのハッシュ値を入手して比較すればいいだけ。
そこが困難な(きちんと方法を示していない)ケースがあるのは認めるが。
けど、現状で一番攻撃しやすいのは、>>866みたいなのが作ったサイトに
「この通信はSSLで暗号化されて安心ですので、
何か出ることがありますがOKをクリックしてください」
と騙されてクセをつけてしまった客。
輸送経路が信頼できないとかって、どんだけ壮大な妄想かと。
もしOS(というかブラウザ)を信頼できない通信で入手した場合は
別の信頼できる通信でそいつのハッシュ値を入手して比較すればいいだけ。
そこが困難な(きちんと方法を示していない)ケースがあるのは認めるが。
けど、現状で一番攻撃しやすいのは、>>866みたいなのが作ったサイトに
「この通信はSSLで暗号化されて安心ですので、
何か出ることがありますがOKをクリックしてください」
と騙されてクセをつけてしまった客。
そんなクセがつく客はもともと攻撃しやすいだろw アホか
新しいSSL証明書業者を見つけた。ロードバランサー環境では安いそうな。
ttp://www.jcert.co.jp/
USのGodaddyの下請けらしいんだが、本家Godaddyのサイトあやし過ぎ。
アダルトサイトみたいw
ttp://www.godaddy.com/
CP/CPSを熟読するとデカい穴がみつかりそうだな。
ttp://www.jcert.co.jp/
USのGodaddyの下請けらしいんだが、本家Godaddyのサイトあやし過ぎ。
アダルトサイトみたいw
ttp://www.godaddy.com/
CP/CPSを熟読するとデカい穴がみつかりそうだな。
新しいSSL証明書業者を見つけた。ロードバランサー環境では安いそうな。
ttp://www.jcert.co.jp/
USのGodaddyの下請けらしいんだが、本家Godaddyのサイトあやし過ぎ。
アダルトサイトみたいw
ttp://www.godaddy.com/
CP/CPSを熟読するとデカい穴がみつかりそうだな。
ttp://www.jcert.co.jp/
USのGodaddyの下請けらしいんだが、本家Godaddyのサイトあやし過ぎ。
アダルトサイトみたいw
ttp://www.godaddy.com/
CP/CPSを熟読するとデカい穴がみつかりそうだな。
>>876-877
なんで必死なんだ、ネガキャンか?
ロードバランサー環境じゃなくても大手と比べれば安いだろう。
スレタイにもあるように、ぼったくり市場なんだし、適正価格なのかもしれないが。
まだ日本での実績がないから、なんか思いついたサービスをサックリ始めるなら
さくらの専鯖+Godaddy でいいかな〜程度、という感じではあるな。
いずれにせよ Godaddy は導入してないヤツの憶測より、導入したヤツの情報待ちだな。
なんで必死なんだ、ネガキャンか?
ロードバランサー環境じゃなくても大手と比べれば安いだろう。
スレタイにもあるように、ぼったくり市場なんだし、適正価格なのかもしれないが。
まだ日本での実績がないから、なんか思いついたサービスをサックリ始めるなら
さくらの専鯖+Godaddy でいいかな〜程度、という感じではあるな。
いずれにせよ Godaddy は導入してないヤツの憶測より、導入したヤツの情報待ちだな。
GoDaddyはデフォルトで自動更新ONという罠がある。
1年分買った場合は11ヶ月放置しておくと自動更新される。
買ったら忘れないうちに自動更新を解除しておくべき。
もちろんカード情報も削除で。
価格はクーポン有効利用すればRapidSSLとあんまりかわらない。
jcertがどうだかは知らん。
1年分買った場合は11ヶ月放置しておくと自動更新される。
買ったら忘れないうちに自動更新を解除しておくべき。
もちろんカード情報も削除で。
価格はクーポン有効利用すればRapidSSLとあんまりかわらない。
jcertがどうだかは知らん。
>>879
まぁ、更新し忘れでモメるより増しかもね。
jcertがサービスインしたからサイトをうろついて来た。
ログイン画面とかでEV証明書使ってないんだよね。なんだかなー。
CP/CPSがどうのこうのって行ってる奴がいたけど、まぁ普通じゃね。
ちょっとスカスカで具体的な事は書かずに、ボヤかして書いてあるような感じはするけど。
WebTrust for CAを取るときに審査は受けているはずだし。
まぁ、更新し忘れでモメるより増しかもね。
jcertがサービスインしたからサイトをうろついて来た。
ログイン画面とかでEV証明書使ってないんだよね。なんだかなー。
CP/CPSがどうのこうのって行ってる奴がいたけど、まぁ普通じゃね。
ちょっとスカスカで具体的な事は書かずに、ボヤかして書いてあるような感じはするけど。
WebTrust for CAを取るときに審査は受けているはずだし。
EV証明書なんて飾(ry
GoDaddyはsubject alt name付きの証明書でお世話になっている。
後からsubject alt nameの内容に追加出来るのでけっこう便利。
後からsubject alt nameの内容に追加出来るのでけっこう便利。
>>882
DaddyのSubjectAltNameの部分ってValidation無しじゃなかったけ?
結構前に試してみて、勝手にドメイン名を入れられるじゃん
とか思ったことがあった。
今はどうなってるかはしらん。
DaddyのSubjectAltNameの部分ってValidation無しじゃなかったけ?
結構前に試してみて、勝手にドメイン名を入れられるじゃん
とか思ったことがあった。
今はどうなってるかはしらん。
ところで、知り合いからVerisignのSSL証明書の売れ行きが悪い
って聞いたんだけど、ホントかね?やっぱ高いから他に行っちゃうのかな。
って聞いたんだけど、ホントかね?やっぱ高いから他に行っちゃうのかな。
>>883
自分がやった時はドメインの数だけメールが来た。
自分がやった時はドメインの数だけメールが来た。
>>888
そう。UCCのこと。
UCCってのは用語が良くないよね。
通常はMS Exchange専用のマルチドメイン証明書を意味するから。
ダディのUCCは、一般的な用語で言うところのマルチドメイン証明書。
ちなみにDaddyはCNとSubjectAltNameにIPアドレスとドットなしのホスト名も指定できたはず。
これ使うと、社内ネットワークとかでSSLしたいときに便利だったりする。たしか無料だたと。
あと、CNにwww.example.comを指定すると、subjectAltNameに自動的にexample.comが入る。
他社だとこういうのがオプションだったりするから良心的だなと思った。
そう。UCCのこと。
UCCってのは用語が良くないよね。
通常はMS Exchange専用のマルチドメイン証明書を意味するから。
ダディのUCCは、一般的な用語で言うところのマルチドメイン証明書。
ちなみにDaddyはCNとSubjectAltNameにIPアドレスとドットなしのホスト名も指定できたはず。
これ使うと、社内ネットワークとかでSSLしたいときに便利だったりする。たしか無料だたと。
あと、CNにwww.example.comを指定すると、subjectAltNameに自動的にexample.comが入る。
他社だとこういうのがオプションだったりするから良心的だなと思った。
UCCって言ったら、上島だろ
上島って言ったら、竜兵だろ
これはひどい
893 :名無しさん@そうだ選挙に行こう:2009/08/30(日) 16:54:21 ID:d77klP8d
Namecheapは登録したドメインでしか使えないのか?
894 :名無しさん@そうだ選挙に行こう:2009/08/30(日) 18:47:19 ID:???
comodoからrapidに乗り換えた人っている?
いたらどこのサイトから申し込んだ?
いたらどこのサイトから申し込んだ?
QuickSSL PremiumもSubject Alternative Names(3個まで)に対応したのかな?
>>885
このSSL契約しようかと考えてる。
でもあまりにも値段安い気がするのだが、ベリとかとこの値段の差ってなに?
ブランド力?
ぶっちゃけ研究開発用なので、ブランドはどうでもいい。携帯からつながれば。
それと証明書の再発行ができないみたいだけど、バックアップとっておく形で例えばサーバーを移転したときとかに対応できるよね?
このSSL契約しようかと考えてる。
でもあまりにも値段安い気がするのだが、ベリとかとこの値段の差ってなに?
ブランド力?
ぶっちゃけ研究開発用なので、ブランドはどうでもいい。携帯からつながれば。
それと証明書の再発行ができないみたいだけど、バックアップとっておく形で例えばサーバーを移転したときとかに対応できるよね?
>>897
値段の差はまぁブランド力が一番でかそうだけど
補償内容、証明の範囲、サポートもあるかと
「携帯からつながる」は↓みとけ
ttp://triaez.kaisei.org/~kaoru/ssl/cell.html
値段の差はまぁブランド力が一番でかそうだけど
補償内容、証明の範囲、サポートもあるかと
「携帯からつながる」は↓みとけ
ttp://triaez.kaisei.org/~kaoru/ssl/cell.html
>>898
ありがと。エスロジカル社のrapidでも、認証テストページにアクセスできてから問題ないと踏んでる。
ありがと。エスロジカル社のrapidでも、認証テストページにアクセスできてから問題ないと踏んでる。
>>897
証明書のバックアップは普通にファイルのコピーしておけばいい。
たぶんメールに添付されたりして送られてくるから。
あと、対応する私有鍵の保存も忘れずに。OpenSSL Export PKCS #12あたりでググれ。
証明書のバックアップは普通にファイルのコピーしておけばいい。
たぶんメールに添付されたりして送られてくるから。
あと、対応する私有鍵の保存も忘れずに。OpenSSL Export PKCS #12あたりでググれ。
>>903
まさにシールが欲しかった。
まさにシールが欲しかった。
905 :DNS未登録さん:2009/09/28(月) 12:13:17 ID:bYrEnn9j
最初の1年だけ、Premiumで契約して、翌年からRapidにすると、シールが引き続き使えるって
いうのは内緒です・・
いうのは内緒です・・
CyberTrustのリセラーで安いところないでしょうか…。
トリトンでCOMODO契約してたんですけど期限切れでてんやわんやしてます。
どなたかお助けを!!!
トリトンでCOMODO契約してたんですけど期限切れでてんやわんやしてます。
どなたかお助けを!!!
なんでCOMODO使ってるの?
ケータイがdocomoだから
3年くらい前はCOMODOのルート証明はCyberTrustだったんです 値段は1万くらい
今じゃCyberTrustのを買おうとしたら7万以上…
携帯まともに対応してるのはVeriSignとCyberTrustだけですね…
今じゃCyberTrustのを買おうとしたら7万以上…
携帯まともに対応してるのはVeriSignとCyberTrustだけですね…
docomo なら Rapid で大丈夫じゃないの?
今時どの証明書でも対応してんだろ
rapidもかなりまともだよ
同一CNの場合でも、複数のサーバで利用する場合は、サーバ台数分の
ライセンスが必要らしいのですが
ここでいうサーバは物理的なサーバと考えていいのでしょうか?
ある物理サーバ(secure.example.com) において HTTPS と SSL-VPN のサービスが同時稼働している場合でも
ライセンスは1つでいいんですかね?
ライセンスが必要らしいのですが
ここでいうサーバは物理的なサーバと考えていいのでしょうか?
ある物理サーバ(secure.example.com) において HTTPS と SSL-VPN のサービスが同時稼働している場合でも
ライセンスは1つでいいんですかね?
おまえは3.5年前のレスに何を求めているんだ
すまん。913の間違いだった様だな
指摘されてはじめて気づいた。こちらこそすまぬ。
913です。
ありがとうございました。一応確認してみます。
ありがとうございました。一応確認してみます。
トリトンSSLから期限切れのお知らせメールがきました
以下引用
======================================================
米国マイクロソフト社は、2010年12月末日をもってインターネット
エクスプローラーの、root証明書プログラムより1,024bitの全ての
root証明書を除外する事を発表致しました。
昨年より、暗号強度の引き上げを、米国政府が2010年までに現在の
1,024bitから、2,048bitへ引き上げるよう通達が出ており、これに
従う流れとなっております。
現在、Toriton,IncSSL及びCorporateSSLで使用しているroot証明書は、
1,024bitのEntrust rootになります。
こちらのEntrustのroot証明書も対象となっております。
弊社と致しましては、Toriton,IncSSL及びCorporateSSLの発行をこのまま
継続することにより、再度root証明書の変更等、様々な問題でお客様にご迷惑
をお掛けする事はできないと判断し、今回のマイクロソフト社の発表を受け
Toriton,IncSSL及びCorporateSSLの証明書を本年12月で発行終了とし、
アルファSSLへ完全移行する予定にございます。
(※ワイルドカードを除く※)
アルファSSLサーバ証明書は、既に早い時期から2,048bitの暗号強度を誇る
GlobalSign root証明書と、中間CAであるAlphaCAも2,048bitとなっており、
今回の件には該当しません。
今後も安心してご利用いただけます。
======================================================
といってますが本当ですかね?
これが本当だと2011年以降使えなくなるルート証明書が結構たくさんありますよね。
単にトリトンが現行サービスを終了させて新サービスに統合させたいための方便な気がするんですが。
以下引用
======================================================
米国マイクロソフト社は、2010年12月末日をもってインターネット
エクスプローラーの、root証明書プログラムより1,024bitの全ての
root証明書を除外する事を発表致しました。
昨年より、暗号強度の引き上げを、米国政府が2010年までに現在の
1,024bitから、2,048bitへ引き上げるよう通達が出ており、これに
従う流れとなっております。
現在、Toriton,IncSSL及びCorporateSSLで使用しているroot証明書は、
1,024bitのEntrust rootになります。
こちらのEntrustのroot証明書も対象となっております。
弊社と致しましては、Toriton,IncSSL及びCorporateSSLの発行をこのまま
継続することにより、再度root証明書の変更等、様々な問題でお客様にご迷惑
をお掛けする事はできないと判断し、今回のマイクロソフト社の発表を受け
Toriton,IncSSL及びCorporateSSLの証明書を本年12月で発行終了とし、
アルファSSLへ完全移行する予定にございます。
(※ワイルドカードを除く※)
アルファSSLサーバ証明書は、既に早い時期から2,048bitの暗号強度を誇る
GlobalSign root証明書と、中間CAであるAlphaCAも2,048bitとなっており、
今回の件には該当しません。
今後も安心してご利用いただけます。
======================================================
といってますが本当ですかね?
これが本当だと2011年以降使えなくなるルート証明書が結構たくさんありますよね。
単にトリトンが現行サービスを終了させて新サービスに統合させたいための方便な気がするんですが。
まぁ何処の認証局に限らず該当するの持ってるところは全滅だわな
うわっ・・・影響でか・・・
移行スケジュール考えないと。
移行スケジュール考えないと。
>>920のIEのroot証明書云々がさすがにビックリで調べてみたんだが、
Microsoft Root Certificate Program
ttp://technet.microsoft.com/en-us/library/cc751157.aspx
のGeneral Requirementsの4がそれのことなら「もう1024bitのは新規に受け付けない、
2030年までに1024bitは全部失効すればいいね」って感じで、
2010年12月に1024bitのが綺麗さっぱり削除されますよってわけではなさそう。
EVは米国政府の通達で確かにそうらしいけど、EV以外も含む全部ではないと思う。
Microsoft Root Certificate Program
ttp://technet.microsoft.com/en-us/library/cc751157.aspx
のGeneral Requirementsの4がそれのことなら「もう1024bitのは新規に受け付けない、
2030年までに1024bitは全部失効すればいいね」って感じで、
2010年12月に1024bitのが綺麗さっぱり削除されますよってわけではなさそう。
EVは米国政府の通達で確かにそうらしいけど、EV以外も含む全部ではないと思う。
Apacheの設定を変更し、単一IPアドレス上で複数のSSLサイトを運用する
http://builder.japan.zdnet.com/news/story/0,3800079086,20402262,00.htm
Firefox 2.0以降
Opera 8.0以降
Internet Explorer 7.0以降(残念なことに、Vistaで動作するもののみである)
Google Chrome
Safari 3.2.1(残念なことに、Mac OS X 10.5.6以降で動作するもののみである)
http://builder.japan.zdnet.com/news/story/0,3800079086,20402262,00.htm
Firefox 2.0以降
Opera 8.0以降
Internet Explorer 7.0以降(残念なことに、Vistaで動作するもののみである)
Google Chrome
Safari 3.2.1(残念なことに、Mac OS X 10.5.6以降で動作するもののみである)
普通のhttps だと
接続
SSL ON
蔵から GET /index.html HTTP/1.1
蔵から host : exsample.con
とやるわけだけど、どんなプロトコルなんですかね。
接続
蔵から host : exsample.con
SSL ON
蔵から GET /index.html HTTP/1.1
かな?
接続
SSL ON
蔵から GET /index.html HTTP/1.1
蔵から host : exsample.con
とやるわけだけど、どんなプロトコルなんですかね。
接続
蔵から host : exsample.con
SSL ON
蔵から GET /index.html HTTP/1.1
かな?
SSL のプロトコル自身が
>SSL ON
ここの時点でホスト情報を送れるように拡張された。
openssl がその拡張に対応したのと、
apache がその拡張された openssl に対応した、という話。
>SSL ON
ここの時点でホスト情報を送れるように拡張された。
openssl がその拡張に対応したのと、
apache がその拡張された openssl に対応した、という話。
>>929
丁寧な解説どうもです。
丁寧な解説どうもです。
931 :DNS未登録さん:2009/11/08(日) 17:22:50 ID:f9wSwTX+
TLSとSSLにゼロデイ脆弱性--セキュリティ研究家が明らかに
http://japan.cnet.com/news/sec/story/0,2000056024,20403071,00.htm
http://japan.cnet.com/news/sec/story/0,2000056024,20403071,00.htm
>>931
apache-announceにも流れてたな。
opensslのバージョンを0.9.8lに上げるか、
apacheに対してパッチを適用するか、
クライアント証明書を使用しないようにするか、
のいずれかが対策だということだが。
apache-announceにも流れてたな。
opensslのバージョンを0.9.8lに上げるか、
apacheに対してパッチを適用するか、
クライアント証明書を使用しないようにするか、
のいずれかが対策だということだが。
RapidSSLを5年分更新した。安くなったね。$50だった。
どうしてそんな安いの?
日本の代理店は年間3000円とかっぽいが…
日本の代理店は年間3000円とかっぽいが…
servertastic.com だと5年契約で$10/year
RapidSSLだけじゃなくて、他ブランドのSSLも一番安いと思う。
RapidSSLだけじゃなくて、他ブランドのSSLも一番安いと思う。
namecheapは$9.95/yだよ
微妙な差だけどね
微妙な差だけどね
こまけぇこたぁいいんだよ
さくらのレンタルサーバーでssl導入したいんですけど、
sslって一つのドメインごとに一つの契約がいるんですかね。
それとも一つのサーバーで一つの契約、でドメインは使い放題って感じでしょうか。
教えて下さい。先生方。
sslって一つのドメインごとに一つの契約がいるんですかね。
それとも一つのサーバーで一つの契約、でドメインは使い放題って感じでしょうか。
教えて下さい。先生方。
>>938
Server Name Indication
Server Name Indication
スレ違いの悪寒すいません。
MELON使ってるのですが、Win32OpenSSL-0_9_8d.exeを実行しても
TLS/SSL enabledになりません。OSはXPです。以前別のPCでは同様の
前準備で使えていたのですが、いろいろやっても変わりません。
同様の経験ある方がもしいたら、アドバイスお願いします。
MELON使ってるのですが、Win32OpenSSL-0_9_8d.exeを実行しても
TLS/SSL enabledになりません。OSはXPです。以前別のPCでは同様の
前準備で使えていたのですが、いろいろやっても変わりません。
同様の経験ある方がもしいたら、アドバイスお願いします。
質問です。http://www.onlinessl.jp/ で RapidSSL 証明書を取得したのですが、
一般名称(CN): foo.example.com
組織(O): foo.example.com
部署(OU): GT1234567
となっています。ベリサインなどで取得すると、
一般名称(CN): foo.example.com
組織(O): Foo CO, LTD.
部署(OU): Sales Div.
などと表示されるものだと思うのですが、これはどうしてなのでしょうか。
ドメインの所有者であることは確認したが、企業名等の実在性を
確認していないから、あえてこちらが入力した文字を埋めていない
のでしょうか? (そこにこだわるなら、もっと高いプランを申込め
ということ?)
一般名称(CN): foo.example.com
組織(O): foo.example.com
部署(OU): GT1234567
となっています。ベリサインなどで取得すると、
一般名称(CN): foo.example.com
組織(O): Foo CO, LTD.
部署(OU): Sales Div.
などと表示されるものだと思うのですが、これはどうしてなのでしょうか。
ドメインの所有者であることは確認したが、企業名等の実在性を
確認していないから、あえてこちらが入力した文字を埋めていない
のでしょうか? (そこにこだわるなら、もっと高いプランを申込め
ということ?)
普通のSSLはドメイン名の所有者であることしか証明できないからそれで十分でしょ
EVが出る前はそこに企業名を入れるのを付加価値料として取ってただけで
EVが出る前はそこに企業名を入れるのを付加価値料として取ってただけで
>942
> (そこにこだわるなら、もっと高いプランを申込め
> ということ?)
そういうこと。手間がかかるんだから当然でしょ
https://www.verisign.co.jp/ssl/help/faq/100062/index.html
> (そこにこだわるなら、もっと高いプランを申込め
> ということ?)
そういうこと。手間がかかるんだから当然でしょ
https://www.verisign.co.jp/ssl/help/faq/100062/index.html
>943
> 普通のSSLはドメイン名の所有者であることしか証明できない
おいおい
> 普通のSSLはドメイン名の所有者であることしか証明できない
おいおい
営業の電話があったので少し調べてみた。
クロストラスト
携帯・PC対応SSL証明書 (Enterprise SSL for mobile)
サイバートラストのリセラー(SureServer)。
実在確認、携帯対応等、VerisignセキュアサーバIDと同等?
本家より5000円ぐらい安い。
3年割が便利かも。
以上、メモ的な。
クロストラスト
携帯・PC対応SSL証明書 (Enterprise SSL for mobile)
サイバートラストのリセラー(SureServer)。
実在確認、携帯対応等、VerisignセキュアサーバIDと同等?
本家より5000円ぐらい安い。
3年割が便利かも。
以上、メモ的な。
http://twitter.com/servertastic/status/10167637836
RapidSSL and Geotrust now secure WWW and non-WWW domain
http://blog.servertastic.com/rapidssl-and-geotrust-now-secure-www-and-non
RapidSSL and Geotrust now secure WWW and non-WWW domain
http://blog.servertastic.com/rapidssl-and-geotrust-now-secure-www-and-non
SSLとはちょっと違うけど、ここが詳しそうなので...
JustSystemのオンラインショップで売ってる
ベリサイン 個人用電子証明書ライセンスシート
って、別にJust製品持って無くても使えるよね?
それとも、
verisign -> justsystem -> 個人
みたいに証明書が繋がっていて、just製品じゃなきゃ普通に使えない
みたいになってるの?
JustSystemのオンラインショップで売ってる
ベリサイン 個人用電子証明書ライセンスシート
って、別にJust製品持って無くても使えるよね?
それとも、
verisign -> justsystem -> 個人
みたいに証明書が繋がっていて、just製品じゃなきゃ普通に使えない
みたいになってるの?
949 :DNS未登録さん:2010/03/14(日) 22:52:00 ID:KajmPfoa
>>948
普通のメールアドレス証明書だと思うけど、こんな断り書きがある。
>「ベリサイン 個人用電子証明書ライセンスシート」は、「Shuriken(Pro3以降)」または「一太郎(2004以降)」(ジャストシステム製品で電子証明書に対応したアプリケーション)をご利用の方を対象とした製品です。
普通のメールアドレス証明書だと思うけど、こんな断り書きがある。
>「ベリサイン 個人用電子証明書ライセンスシート」は、「Shuriken(Pro3以降)」または「一太郎(2004以降)」(ジャストシステム製品で電子証明書に対応したアプリケーション)をご利用の方を対象とした製品です。
JustSystemのベリサイン個人用電子証明書を入手してみた。
- Class 1 Public Promary Certification Authority - G2
- VeriSign Japan Class 1 CA - G2
- Application Service CA
- 個人名
という構成だった。で、個人名の所の「部署OU」には
「Application Service CA」
「https://www.verisign.co.jp/rpa-kr/」
「for JUSTSYSTEM Products」と埋め込まれていた。
ベリサイン本家で取ったclass1証明書は
- Class 1 Public Promary Certification Authority
- VeriSign Class 1 Individual Subscriber CA - G2
- 個人名
という構成だった。で、個人名の所の「部署OU」には
「VeriSign Trust Network」
「http://www.verisign.com/repository/RPA」
「Persona Not Validated」
「Digital ID Class 1 - Netscape Full Service」
が埋め込まれていた。
- Class 1 Public Promary Certification Authority - G2
- VeriSign Japan Class 1 CA - G2
- Application Service CA
- 個人名
という構成だった。で、個人名の所の「部署OU」には
「Application Service CA」
「https://www.verisign.co.jp/rpa-kr/」
「for JUSTSYSTEM Products」と埋め込まれていた。
ベリサイン本家で取ったclass1証明書は
- Class 1 Public Promary Certification Authority
- VeriSign Class 1 Individual Subscriber CA - G2
- 個人名
という構成だった。で、個人名の所の「部署OU」には
「VeriSign Trust Network」
「http://www.verisign.com/repository/RPA」
「Persona Not Validated」
「Digital ID Class 1 - Netscape Full Service」
が埋め込まれていた。
どちらもS/MIMEでの暗号化・署名は問題なく出来る。
ベリサイン本家で買った方が安いね。
ベリサイン本家で買った方が安いね。
953 :DNS未登録さん:2010/05/08(土) 13:53:47 ID:vtHF1epZ
>>612 から二年半経ってるが、StartCom はIEに対応した。Operaはまだ対応してないけど。
初心者質問で悪いんだが、例えばジオトラストのQuickSSL Premium 等、
代理店で申し込めば1/3とかの価格になるのはなぜ?
別料金取られたりしないの?
代理店で申し込めば1/3とかの価格になるのはなぜ?
別料金取られたりしないの?
卸値と販売価格は違う
卸値は販売実績で違う
卸値は販売実績で違う
ttp://www.geotrust.co.jp/support/ssl/faq/900101/index.html
ジオトラストの鍵長2048ビットへの変更スケジュール予定(7/23-) と
2048ビット化による携帯端末への影響(接続不可端末など)の
検証情報が掲示されました
ジオトラストの鍵長2048ビットへの変更スケジュール予定(7/23-) と
2048ビット化による携帯端末への影響(接続不可端末など)の
検証情報が掲示されました
957 :名無しさん@そうだ選挙に行こう:2010/07/11(日) 00:12:32 ID:???
RapidSSLにおける仕様変更(公開鍵長など)のお知らせ(続報)
http://www.rapid-ssl.jp/rapidssl-news/archives/39
新ルート証明書を使用したテストサイト
https://ssltest12.bbtest.net/
http://www.rapid-ssl.jp/rapidssl-news/archives/39
新ルート証明書を使用したテストサイト
https://ssltest12.bbtest.net/
958 :名無しさん@そうだ選挙に行こう:2010/07/11(日) 12:15:07 ID:???
https://www.verisign.co.jp/ssl/about/20100128b.html
日本ベリサインは2048ビット化を10月から行なうけど
NISTが方針変更を打ち出してきそうなのでそれに合わせて
現行の1024ビットのも当面は平行提供する方向で調整しているらしい
2048ビット化で2G携帯ほぼ全滅になるクレームでも多かったのかな
日本ベリサインは2048ビット化を10月から行なうけど
NISTが方針変更を打ち出してきそうなのでそれに合わせて
現行の1024ビットのも当面は平行提供する方向で調整しているらしい
2048ビット化で2G携帯ほぼ全滅になるクレームでも多かったのかな
960 :DNS未登録さん:2010/08/02(月) 01:40:07 ID:wDVLykMe
comodo以外で1024bitで証明書取れるところってある?
>>960
RapidSSLは未だ1024bitでも大丈夫。
ジオトラストもルート証明書は2048になったけど、しばらくは1024bitも発行されるみたい。
ただ、2013年でブラウザ側の1024bitルートは使えなくなるらしいから、早めに2048以上にした方が良い。
RapidSSLは未だ1024bitでも大丈夫。
ジオトラストもルート証明書は2048になったけど、しばらくは1024bitも発行されるみたい。
ただ、2013年でブラウザ側の1024bitルートは使えなくなるらしいから、早めに2048以上にした方が良い。
RapidSSLの2048bit移行は10月以降って、いくつかのリセラーがアナウンスしてるけど違うの?
電話認証も2〜3年前から必要なくなってるし。
電話認証も2〜3年前から必要なくなってるし。
どうして1024bit証明書が欲しいの?
携帯がまともに対応してないからじゃ?
3G携帯なら大体は2048bitに対応してるだろ。
まあ2013年にはIEとかのブラウザも1024bitが使えなくなるみたいだから
どこの認証局も近々2048bit化はするだろ。
まあ2013年にはIEとかのブラウザも1024bitが使えなくなるみたいだから
どこの認証局も近々2048bit化はするだろ。
Rapidって何でこんなに安いの?
https://www.verisign.co.jp/ssl/about/20100128b.html
日本ベリサイン、1024bit旧来仕様の証明書発行を継続提供
日本ベリサイン、1024bit旧来仕様の証明書発行を継続提供
動作報告というか。
Mendocino 333MHz win98ではP2 MMXとなってたけど
mem 64MB アマゾンでマック用という128を買う めでたく192
HDD 6GB から余ってた80Gに。
最新のubuntu remix GUIインストール、30分たってからやっと
左上に2こアイコンがでてきた。
やっぱこんなもんかと思って、手近にあったdebianインストーラいれたら、キビキビと
動く。
初め音でなかったけど alsaconfしたら筐体のハードウェアボリュームで調整できるように
なった。
視覚効果つきリズムボックスで音楽聴きながら、ブラウザみてたり、コンソールで遊んだり。
日本語も何もしなくても通るしdebian5.0最高。3.1→4.0→遷都すなのでひさびさ。
非常に嬉しいという話。
Mendocino 333MHz win98ではP2 MMXとなってたけど
mem 64MB アマゾンでマック用という128を買う めでたく192
HDD 6GB から余ってた80Gに。
最新のubuntu remix GUIインストール、30分たってからやっと
左上に2こアイコンがでてきた。
やっぱこんなもんかと思って、手近にあったdebianインストーラいれたら、キビキビと
動く。
初め音でなかったけど alsaconfしたら筐体のハードウェアボリュームで調整できるように
なった。
視覚効果つきリズムボックスで音楽聴きながら、ブラウザみてたり、コンソールで遊んだり。
日本語も何もしなくても通るしdebian5.0最高。3.1→4.0→遷都すなのでひさびさ。
非常に嬉しいという話。
誤爆った…
失礼しました
失礼しました
GoDaddyも安価だお
台数制限のあるとこって、どうやってライセンス違反のやつが複数サーバーに
分散して使用していることを突き止めるんだろう?
分散して使用していることを突き止めるんだろう?
てゆか今までそういう警告受けた人っているんだろうか
>>972
いわゆる紳士協定では。
いわゆる紳士協定では。
975 :DNS未登録さん:2010/10/04(月) 23:33:04 ID:44OviOQl
StartSSL Freeは、いつのまにかOpera含めほとんどのブラウザに対応していた。
http://www.startssl.com/?app=40
http://www.startssl.com/?app=40
976 :DNS未登録さん:2010/10/05(火) 16:40:30 ID:jEhOqwW4
>>975
携帯対応がいらなければもうここでよくね?
携帯対応がいらなければもうここでよくね?
>975
そのURL末尾のapp=40って一体どういう意味だよ?
アフィリエイトか広告追跡か... どっちにしろロクなもんじゃないな。
>976
携帯対応がいらなきゃ自己署名で十分で、売り物の証明書自体が不要。
そのURL末尾のapp=40って一体どういう意味だよ?
アフィリエイトか広告追跡か... どっちにしろロクなもんじゃないな。
>976
携帯対応がいらなきゃ自己署名で十分で、売り物の証明書自体が不要。
>売り物
979 :DNS未登録さん:2010/10/05(火) 20:03:37 ID:EB3/v0qa
自分用の鯖は自己署名で充分
公開用はブラウザによっては信頼されていないサイトってなる場合があるから
目的に応じて認証を取得するなりすればいい
公開用はブラウザによっては信頼されていないサイトってなる場合があるから
目的に応じて認証を取得するなりすればいい
StartSSLは何度やっても登録できなかったので、諦めてRapidSSLにした。
代理店だと1年10$だからお得だし、普通に携帯にも対応してるから発行して良かったわ。
代理店だと1年10$だからお得だし、普通に携帯にも対応してるから発行して良かったわ。
今はRapidSSLが最強だよね?
ベリサイン8万を選択するか、携帯3Gのみ対応でよければRapidで。
ベリサイン8万を選択するか、携帯3Gのみ対応でよければRapidで。
自宅サーバの範疇からはずれるけど、大学・研究機関ならNIIのUPKIがいけるね
>>975
ワイルドカードで2年$49.90は安いな。
ワイルドカードで2年$49.90は安いな。
985 :DNS未登録さん:2010/10/06(水) 18:42:13 ID:IFrYODFy
そういや、RapidSSLにCN=www.example.comの証明書を申し込むと、
subjectAltNameにexample.comも設定されるようになったって話をどっか
海外のサイトで見たような覚えがあるんだけど、実際そうなってるの?
subjectAltNameにexample.comも設定されるようになったって話をどっか
海外のサイトで見たような覚えがあるんだけど、実際そうなってるの?
986 :DNS未登録さん:2010/10/06(水) 18:52:34 ID:8fCR6ciC
RapidSSLなんか使うな
セキュリティ意識ある人は信用してないしルート証明書も消してる
http://seldon.cocolog-nifty.com/petapeta/2006/02/no_geotrust.html
セキュリティ意識ある人は信用してないしルート証明書も消してる
http://seldon.cocolog-nifty.com/petapeta/2006/02/no_geotrust.html
セキュリティ意識が高いんじゃなくてSSLを理解してない人の記事だろ
ちゃんとフィッシング詐欺サイトのドメイン所有者が運用しているサーバと安全に通信出来てるじゃん
グローバルサインでも同じ事できるし
法人格さえあればベリサインやサイバートラストだって同じ事出来るでしょ
ブラウザが警告ださないからとか言っちゃってる人はどうせシールの確認もしないだろうし
ちゃんとフィッシング詐欺サイトのドメイン所有者が運用しているサーバと安全に通信出来てるじゃん
グローバルサインでも同じ事できるし
法人格さえあればベリサインやサイバートラストだって同じ事出来るでしょ
ブラウザが警告ださないからとか言っちゃってる人はどうせシールの確認もしないだろうし
>>985
>>947
こことか見てみると付いていないけど、希望しないと付かないのかな?
https://ieserver.net/cgi-bin/dip.cgi
>>986
確かに安いSSL証明書だからフィッシングサイトに使われる可能性は高いかも
ただ、>>987の言っている通り、SSL証明書の機能としては正常だからね
>>947
こことか見てみると付いていないけど、希望しないと付かないのかな?
https://ieserver.net/cgi-bin/dip.cgi
>>986
確かに安いSSL証明書だからフィッシングサイトに使われる可能性は高いかも
ただ、>>987の言っている通り、SSL証明書の機能としては正常だからね
アドレスバー見ないやつにはどんな証明書用意しても無駄
つうか、そのへんの緩和策としてEV SSLが出てきたんじゃあ・・・
>>947,985,988
8月頭にとったのはついてたよ
8月頭にとったのはついてたよ
>>990
俺がExample Corp.っての設立して申し込めばEV SSL証明書が発行される。
で、Example Corp.はレンサバ屋で、
EV SSL付だよって触れこみでexample.comを適当な馬の骨に貸してやる。
Example Corp.ってのがひどいレンサバ屋だって情報が回っても、
個々のユーザはアドレスバーなんか見ない。
俺がExample Corp.っての設立して申し込めばEV SSL証明書が発行される。
で、Example Corp.はレンサバ屋で、
EV SSL付だよって触れこみでexample.comを適当な馬の骨に貸してやる。
Example Corp.ってのがひどいレンサバ屋だって情報が回っても、
個々のユーザはアドレスバーなんか見ない。
>>993
うん、だから対策ではなく緩和策。
多くのブラウザはアドレスバーに組織名(not ドメイン名)を表示するから、偽サイトを幾分見分けやすくしたつもりなんだろうけど。
「正義に反するサイトにEVSSLを出すな!」とか言い出したらリアル宗教戦争になって収拾付かんし・・・
うん、だから対策ではなく緩和策。
多くのブラウザはアドレスバーに組織名(not ドメイン名)を表示するから、偽サイトを幾分見分けやすくしたつもりなんだろうけど。
「正義に反するサイトにEVSSLを出すな!」とか言い出したらリアル宗教戦争になって収拾付かんし・・・
CRLってちゃんと発行されてて、ブラウザは更新してるの?
998 :DNS未登録さん:
>>987
いやいや、彼は実在証明を要求するStartSSLサイコー!と言いたいのですよ。:P
>>992
>>947読むと、CN=example.comで申請すると、www.example.comも入れてくれるとのこと。
いやいや、彼は実在証明を要求するStartSSLサイコー!と言いたいのですよ。:P
>>992
>>947読むと、CN=example.comで申請すると、www.example.comも入れてくれるとのこと。