- PR -

Apacheセキュアサーバのプライベート証明書について

«前のページへ 1|2
投稿者投稿内容
MM
会議室デビュー日: 2003/06/07
投稿数: 9
投稿日時: 2003-10-02 17:08
引用:

Marionetteさんの書き込み (2003-10-02 00:33) より:
無料の証明書発行機関(企業)、少しだけ覗いてみました。サービスを開始してまもないためでしょうが、
「信頼のおけない認証局...」と注意してくれますね。
それでもプライベート認証よりは安心感を与えるでしょうし、「信頼...」は認知度が上がれば解決する
問題ですね。
有効期限1年間で発行してくれるのも面倒なくていいです。検討します。

私も興味があったので試してみようと思ったのですが、「信頼のおけない認証局...」という
警告が出たので中断しました。 この発行窓口のサイト自身の証明書は、どこからも署名され
ていない、、、なんてことはないのでしょうか?
もしそうだったら、このサイトで署名してもらった証明書は、どのブラウザに持って行っても
同じような警告が出るような気がするのですが、、、
どなたか試して見られた方はおられるでしょうか?


[ メッセージ編集済み 編集者: MM 編集日時 2003-10-02 17:18 ]
Marionette
ベテラン
会議室デビュー日: 2003/08/08
投稿数: 70
投稿日時: 2003-10-02 19:15
一連の流れ、特にすぐ上の藍空さんのコメントをよく読んでいただけると分かると
思うのですが、『気がする』じゃなくて、世界中のどのPCでやっても警告はでます。

digion自身が認証を行っているのだから当たり前では。そうでなければ証明書発行
機関になれないでしょう?
パソコン(IEなど)には信頼されたルート証明機関として登録されていませんから。

個人々々で好き勝手にプライベート認証を行うよりは、どこかでまとめてやった方が
良いという発想で始めた無償サービスなのではないでしょうか。(イメージアップ?)
先のことはわかりませんが、VeriSignのように商用で通用するようになるとは思え
ないですが。

実際やってみたのは初めてで、全然詳しくないので間違ってたら指摘してください。

--------------
ところで、
仕組みとVeriSignの名前しか知らないのですが、VeriSignって一介の企業ですよね。
どういう成り立ちなんでしょう? 日本ベリサインはそうそうたる企業の共同出資で
出来た会社のようですが。認証局そのものを公的に認定する機関なんて存在しない
ですよね(なんか釈然としないなあ)。それともあるのでしょうか。

[ メッセージ編集済み 編集者: Marionette 編集日時 2003-10-02 19:17 ]
MM
会議室デビュー日: 2003/06/07
投稿数: 9
投稿日時: 2003-10-02 21:00
こんにちは、Marionette さん。
> 一連の流れ、特にすぐ上の藍空さんのコメントをよく読んでいただけると分かると
> 思うのですが、『気がする』じゃなくて、世界中のどのPCでやっても警告はでます。

それじゃあプライベート認証とほとんど同じじゃないでしょうか?
(署名してもらう意味がないです。)
私はメリットがない(自己署名証明書と大差ない)と感じる上、インターネット上の秩序に混乱をもたらしかねないという危惧さえ憶えます。
私設認証局の証明書をクライアントのブラウザに取り込んでしまえば、確かにその認証局に署名してもらった複数のサイトは確認無しにアクセスできるようになります。
しかし、その私設認証局が署名対象の素性を確認することなく、署名を乱発したとしたらどうでしょうか?
私設認証局の証明書をいったんブラウザに取り込んでしまえば、公的な認証局が認証したサイトも私設認証局が認証したサイトも同じように、ブラウザに表示されてしまうのです。
このため、ユーザは混乱し、私設認証局が認証した怪しげなサイトを信頼して詐欺に遭うような事件も起こり得るはずです。
そもそも、IEやMozilla/Netscapeの認証局インポート機能は、こういった機能に使用するべきものではありません。
故あってアップグレードできないブラウザに、ルート証明機関を登録する際にのみ使用するものです。
(追記: 閉じたネットワーク内で私設認証局を開設する用途にも使えますね。)

> digion自身が認証を行っているのだから当たり前では。

digionさん自身の証明書に上位認証局からの署名があるのであれば、当たり前ではありません。
そうなっていれば、ブラウザに一切手を加えることなく、SSLセッションが開始できるようになります。

> 個人々々で好き勝手にプライベート認証を行うよりは、どこかでまとめてやった方が
> 良いという発想で始めた無償サービスなのではないでしょうか。(イメージアップ?)

まとめて無償で認証してくれると嬉しいのは事実ですが、認証局はルート認証局から始まる一連の認証チェインによって署名されていなければ使い物にならないということを考えた場合、無償でというのはやっぱり無理な気がしてきました(素性確認を真面目にやろうと思えば有償もやむなしってとこです)。


[ メッセージ編集済み 編集者: MM 編集日時 2003-10-02 21:42 ]

[ メッセージ編集済み 編集者: MM 編集日時 2003-10-02 21:58 ]
«前のページへ 1|2

スキルアップ/キャリアアップ(JOB@IT)