- PR -

SSL通信の信頼されたルート証明機関について

1
投稿者投稿内容
JET
ベテラン
会議室デビュー日: 2004/02/18
投稿数: 76
投稿日時: 2004-12-16 17:43
Windows2003でIIS6.0と証明機関をインストールしております。
証明機関はスタンドアロンルートCAで作成し、IISマネージャから
証明書を要求、証明機関で証明書発行、IISマネージャで証明書・SSL設定
という手順を踏んでおります。

クライアントからアクセスし、セキュリティの警告のウィンドーが
表示されますが、
「このセキュリティ証明書は、信頼する会社から発行されていません」
と表示されます。
そこで、セキュリティの警告上にある証明書をインストールしても
上記メッセージに警告マークが外れません。

「このセキュリティ証明書は、信頼する会社から発行されていません」
を緑のチェックマークにする方法はありますでしょうか。

また、証明機関のCA証明書?をエキスポートし、このエキスポートした
ファイルをクライアントにインポートすると
「このセキュリティ証明書は、信頼する会社から発行されていません」
が緑のチェックマークになります。
(エキスポートしたファイルはブラウザの信頼されたルート証明機関に入ります)
この、証明機関からエキスポートしたファイルをクライアントで
インポートすることはセキュリティ的に正しい、もしくは正常な行為なのでしょうか。


宜しくお願い致します。

あんとれ
ぬし
会議室デビュー日: 2004/01/14
投稿数: 556
投稿日時: 2004-12-17 09:13
引用:

JETさんの書き込み (2004-12-16 17:43) より:

また、証明機関のCA証明書?をエキスポートし、このエキスポートした
ファイルをクライアントにインポートすると
「このセキュリティ証明書は、信頼する会社から発行されていません」
が緑のチェックマークになります。
(エキスポートしたファイルはブラウザの信頼されたルート証明機関に入ります)
この、証明機関からエキスポートしたファイルをクライアントで
インポートすることはセキュリティ的に正しい、もしくは正常な行為なのでしょうか。



ブラウザは最初から Verisign など、いくつかのルート証明書を持っていますが、
ブラウザが持っていない CA に署名された証明書を有効にするためには、
ルート証明書をクライアントにインポートしてもらう必要があります。

ただ、ルート証明書をインポートすることはクライアントにとっては大変危険なことです。ルート証明書をインポートすることはその認証機関を信用することです。
だから、ルート証明書は、絶対に改ざんされないような安全な方法で配布する必要があります。そして、認証局側はクライアントが信用してくれるよう、相応のポリシーを設定したりする必要があるでしょう。
nishi
常連さん
会議室デビュー日: 2003/11/14
投稿数: 25
お住まい・勤務地: 大阪
投稿日時: 2004-12-17 09:26

引用:

この、証明機関からエキスポートしたファイルをクライアントで
インポートすることはセキュリティ的に正しい、もしくは正常な行為なのでしょうか。


RootCAの公開鍵証明書をクライアントにインストールするというのは
信頼できるRootCAであれば問題ないことです。
ただし、あんとれ様も言うとおり、一歩間違うと大変危険です。
RootCAの公開鍵証明書ですから「信頼されたルート証明機関」にインストールされますので、偽りの公開鍵証明書をインストールしないようには気をつけないといけません。
本来ならばインストール前に、フィンガープリントの確認などをする必要があります。
unibon
ぬし
会議室デビュー日: 2002/08/22
投稿数: 1532
お住まい・勤務地: 美人谷        良回答(20pt)
投稿日時: 2004-12-17 09:39
unibon です。こんにちわ。

引用:

あんとれさんの書き込み (2004-12-17 09:13) より:
ただ、ルート証明書をインポートすることはクライアントにとっては大変危険なことです。ルート証明書をインポートすることはその認証機関を信用することです。
だから、ルート証明書は、絶対に改ざんされないような安全な方法で配布する必要があります。そして、認証局側はクライアントが信用してくれるよう、相応のポリシーを設定したりする必要があるでしょう。


以前話題になった、総務省のやりかたを参考にされてはどうでしょうか。
http://www2.shinsei.soumu.go.jp/first.html
から辿れる
http://www2.shinsei.soumu.go.jp/first_ie.html

https://www1.shinsei.soumu.go.jp/prepare/cert_site.html
ですが、でも、これだと証明書は HTTPS ではなく HTTP でダウンロードしているし、確認のしかたもただ単に名前の文字列を見ているだけで、改ざんを検出できないような。

厳密には、別のルートでフィンガープリントも調べないとダメなんですよね。
http://www.soumu.go.jp/kyoutsuu/ninshoukyoku_detail.html
のページは HTTP だし。ここには、官報を見ろとも書いてありますね。「音声案内・FAXサービス」もあるそうです。
しかし、官報が偽造されていたり、電話がすりかえられてたらどうしよう...
JET
ベテラン
会議室デビュー日: 2004/02/18
投稿数: 76
投稿日時: 2004-12-17 13:43
あんとれ さん
nishi さん
unibon さん


貴重なご意見有難うございます。

ユースケースをご説明していなかったのですが、基本的に
インターネット上に公開するのではなく、ローカルネットワークの
ユーザに公開します。IIS、CAは我々が作成し、ユーザの
クライアントマシンも我々で用意します。
そう言う意味では、ユーザには我々が作成したCA、その他システムを
信頼して利用していただきます。
この状況で、「このセキュリティ証明書は、信頼する会社から発行
されていません」はおかしいのではないかと思ったのが発端です。

皆様がおっしゃられているようにRootCA証明書をクライアントマシン
にインポートすることは自体は特に問題が無いようなので安心しました。
RootCA証明書をエキスポートする際に、パスフレーズをつけるようにすると、
クライアントからエキスポートする際に、パスワードが要求されるので
変に使われることが無いのではと思うのですが、どうでしょうか?
ただ証明書には有効期限があるので、運用を考えるとunibonさんの情報に
あるhttp://www2.shinsei.soumu.go.jp/first_ie.htmlのうような
方法のほうがよろしいのでしょうか。

また、上記と同じくローカル環境で、スタンドアロンルートCAではなく、
ドメイン環境はエンタープライズCAとスタンドアロンCAが選択できます。
クライアントもドメインに参加している場合、どちらを選択したほうが
よいのでしょう。
(すみません、現在テストドメイン環境作成中です。)

上記と相反することなのですが、スタントアロンもしくはエンタープライズ
CAで作成したサーバ証明書をインポートしたwebサーバを、
インターネット上に公開した場合は、どのようなことに気をつければ
よろしいでしょうか。
基本的には、ユーザは我々のシステムを信頼しいただいております。
また、Verisignのような機関は利用しない予定です。

お願い、質問ばかりで大変申し訳なく思っております。
PKIは作成・配布・運用と非常に考えることが多いですね。
もしよろしければ、WindowsベースのCA、SSL、PKIについの
書籍、HPなどご存知でしたら教えてください。


宜しくお願い致します。
1

スキルアップ/キャリアアップ(JOB@IT)