- PR -

SSLで利用するポートと証明書の警告

1
投稿者投稿内容
るーさま
ベテラン
会議室デビュー日: 2004/07/26
投稿数: 52
お住まい・勤務地: 江戸っ子・東京勤め
投稿日時: 2006-08-26 13:51
現在、SSLを利用したWEBサーバを外部に公開する仕事をしております。

SSLを利用するドメインを複数公開する必要が有るものの、
各ドメインに固定IPを一つ振っていくとどうしてもコストが上がってしまうので、
ポートをそれぞれのドメインで替えるように構成すれば良いということになりました。

そこで、下記2つの質問があり、皆様のお力をお借りできればと思いました。


1.SSLで利用するポート

クライアントがWEBブラウザにて明示的にポート番号を指定するなら、
SSL通信はポート「443」を使用しなくても通常は大丈夫ですよね?
社内でのテストではパッと見で問題なさそうでした。

社で利用予定のF/Wサーバ (ISA Server 2004 or ISA Server 2006)に
「ほとんどの Web ブラウザは、ポート 443 だけを SSL 要求に使用できます。」
なんて記載があり、怖くなったので確認したく思います。


2.証明書の警告とポート番号

上記の方法でSSLサイトのポート番号を明示的に変えた場合、
https://***.***.***:12345/〜
のように、ブラウザにてURLを指定することになると思われます。

クライアントからWEBサーバにアクセスした際、
取得した証明書(ポート無)のURLとアクセスしたFQDN(ポート有)が異なることによる
SSL通信の警告は出るのでしょうか?

ベンダーから「ポート番号込みの名前で証明書を取得することは不可」と回答があり、
技術的に無理なのかポート番号はSSL通信にて問われないものなのか疑問に思い、
調べてみたものの、ポート番号の無い証明書でも警告無しで使えてしまいました。

XXX.YYY.BBB
XXX.YYY.BBB:12345

ドメイン名が変わったわけではないから証明書的にはどうでもいいのでしょうか?


宜しく御願い致します。

[ メッセージ編集済み 編集者: るーさま 編集日時 2006-08-26 13:56 ]
ut
会議室デビュー日: 2006/08/28
投稿数: 2
投稿日時: 2006-08-28 11:43
>1.SSLで利用するポート
>
>クライアントがWEBブラウザにて明示的にポート番号を指定するなら、
>SSL通信はポート「443」を使用しなくても通常は大丈夫ですよね?
>社内でのテストではパッと見で問題なさそうでした。
>
>社で利用予定のF/Wサーバ (ISA Server 2004 or ISA Server 2006)に
>「ほとんどの Web ブラウザは、ポート 443 だけを SSL 要求に使用できます。」
>なんて記載があり、怖くなったので確認したく思います。

上記にもあると思いますが、クライアント側に別ポートを指定させるのですか?

また、443以外の接続をしない(MSでは443のみサポート)ユーザは接続拒否でよいのですか?

上記クリアをしているのであれば可能です。

>クライアントからWEBサーバにアクセスした際、
>取得した証明書(ポート無)のURLとアクセスしたFQDN(ポート有)が異なることによる
>SSL通信の警告は出るのでしょうか?

というか上記それぞれの証明書が正しくて、取得がされていれば問題ないはずですが。
ひろ@ya
大ベテラン
会議室デビュー日: 2006/02/23
投稿数: 168
投稿日時: 2006-08-28 12:23
正しい証明書を正しい方法でインストールしていれば、443以外でもSSLで通信は出来ます。

ただし、一部のProxyサーバや携帯電話では、443以外を使った https による通信を許可しない場合がありますので注意が必要です。
るーさま
ベテラン
会議室デビュー日: 2004/07/26
投稿数: 52
お住まい・勤務地: 江戸っ子・東京勤め
投稿日時: 2006-08-28 20:29
ut様、ご返信ありがとうございました。


> クライアント側に別ポートを指定させるのですか?
> また、443以外の接続をしない(MSでは443のみサポート)
> ユーザは接続拒否でよいのですか?

元々、一般公開される必要のないWEBページなので、
利用されるPC環境等もこちらから御願いすることすら出来ます。
ですので、ポート別にすることでIPを一つに抑えようかと・・・。

MSでは443のみSSLサポートというのは知りませんでしたが、
通常の443接続はF/Wで止めておくつもりでした(す)。困りましたね。

> というか上記それぞれの証明書が正しくて、
> 取得がされていれば問題ないはずですが。

お伺いしたかったのは、
ポート名が証明書におけるFQDNには含まれるかどうかという点だったのです。
(【正しい】かどうかの判定にポート名は入るのかなぁと)


ひろ様、ご返信ありがとうございました。


> 一部のProxyサーバや携帯電話では、
> 443以外を使った https による通信を許可しない場合がありますので注意が必要

そうですね。これがエンドユーザへの説得で一番苦労する点です。
1

スキルアップ/キャリアアップ(JOB@IT)