5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【認証局】SSLに関するスレ1枚目【ぼろ儲け】

1 :リアル3歳児 ◆DVDR/r8S8s :03/12/14 03:11 ID:Z1USuUcd
セキュ板でもUNIX板でも、ろくすっぽ話題にならないので立ててみますた。

自宅サーバでもSSLきちっと使いたい人は多いと思う。
ただ、自分だけで使うならともかく、公開するならCAの問題つーか
証明書取るコストが問題なんですよね。

また技術的な面でも色々情報交換しましょう。
今はhttp以外のプロトコルでもSSLを使った実装が増えてきてますし。

2 :DNS未登録さん:03/12/14 03:22 ID:???
2枚目はないよ

3 :DNS未登録さん:03/12/14 03:36 ID:Z1USuUcd
(参考)

認証局関連のリンク
ttp://www.nakajima.com/takao/secuca001.html

自前認証局でSSLクライアント認証
ttp://evo.human.waseda.ac.jp/~shigeki/linux/ca.html

自分の認証局を立ち上げるときの参考になるページ
ttp://www.nakajima.com/takao/howtoca.html

SSLによる暗号化通信および認証に関する研究
ttp://www.nagano-it.go.jp/jyouhou/report/2000/0014.pdf

4 :リアル3歳児 ◆DVDR/r8S8s :03/12/14 03:40 ID:Z1USuUcd
あ、>>3は私です。

>>2
おそらく・・・そうでしょうね。
この板ってセキュリティスレも閑散としてますし。


5 :DNS未登録さん:03/12/14 03:48 ID:f9Rff7LY
はやくねろ

6 :DNS未登録さん:03/12/14 04:01 ID:???
http://www.comodogroup.com/
OCMODOの代理店とかやってる業者有るけど
こういうのはどうなの?

7 :DNS未登録さん:03/12/14 04:06 ID:???
じゃあ2ちゃんねるCA とか作ろうぜ(笑)

8 :DNS未登録さん:03/12/14 12:05 ID:???
SSLが必要なだけなら、自分で立てて終わり。
SSL+上位CAの認証が必要なら、金出すか諦める。

そんでも何とかしたいなら >>7 になるんだろうけど。

9 :リアル3歳児 ◆DVDR/r8S8s :03/12/14 13:05 ID:Z1USuUcd
実際、証明書買うとなったら、ナン百万も出してられないので
どっかのリセラーで買うことになると思いますが、色々見てみると
けっこう安いところもあるようです。

しかし案の定つーか、CAが聞いたことがないような所だったりして
IEやNNにデフォルトではルート証明書が入ってないから、利用者側に
一度インストールさせる手間がかかるようです。

そんなのだったら、自前で認証局サーバ立てちまうのもいいかも、
とか思う今日この頃なのです。

2ちゃんねるCA作るにしても、誰かが一手に引き受けないといけないのが難点かな。
某DNS互助会みたいに相互で認証し合うのは仕組み上煩わしいから。

10 :DNS未登録さん:03/12/14 14:31 ID:???
>>9
>IEやNNにデフォルトではルート証明書が入ってない

そんなCAに金払うバカがいるのか?

11 :7,10:03/12/14 14:54 ID:???
なんとなく、>>9を見て、>>1は自分で安い認証局を探すのが嫌だから人に聞いて済ませようと
思っただけなんじゃないかという気がしてきた。

本当に自分で色々調べたなら、「何百万」もかからないと言うことを知っているはずだから。
以下に割と有名な日本語で申しこめるところを列挙しとくが、高いと評判のベリサインジャパンですら
年額8万くらいだぞ。

ベリサイン 85050円
http://www.verisign.co.jp/server/products/

セコムトラストネット 65,000円
http://www.secomtrust.net/service/ninsyo/forweb.html

日本認証サービス 58,000円
http://www.jcsinc.co.jp/service/server.html

ジオトラスト 34,800円
http://www.geotrust.co.jp/quickssl_premium/index.html

SecureStage(ジオトラストの代理店ぽい) 18000円
http://jp.securestage.com/


12 :DNS未登録さん:03/12/14 15:18 ID:???
>>1
> セキュ板でもUNIX板でも、ろくすっぽ話題にならないので立ててみますた。
話題にならない理由を考えれば、こんな所に使えないスレは出来ないわけだがどうよ?

13 :DNS未登録さん:03/12/14 15:29 ID:???
タダの CA もあったりする。
http://freeca.digion.com/

ちゃんとしたところかどうかは知らない。

14 :DNS未登録さん:03/12/15 13:20 ID:???
>>13
> 今後、半年から1年程度の試験運用の後、
> より機能を高めた電子認証局の運用を有償とすることで、
> インターネット上のセキュリティをビジネスとして取り組んでいく考えです。
ってプレスリリースに書いてありますた。

15 :DNS未登録さん:03/12/26 06:55 ID:???
>>6
うちはC○MODOで2年/$114というのを自宅鯖(DDNS&個人名)にしてみた
自己満足にしか使っていない(IE/NNとかならデフォでrootにはいってる)

1ヶ月無料トライアルが使える(この間に設定方法をいろいろ試して、出来ると踏んでから2年購入)

やり方が悪かったのかもしれんが1ヶ月トライアルは日本の代理店は絡んでないようで
全部英語のページに飛ばされた。・・・やりとりも英語で良く解らなかった。

個人だったので証明書としてパスポートと運転免許証の写しをメールで送ったが3ヶ月くらい
音沙汰なしで忘れた頃に認証しましたのメールがきた。

やるならがんばれ

16 :DNS未登録さん:03/12/29 13:39 ID:???
このスレ終了。
すでに>>7
でいってるとおり。
サービス範囲が決まってて知り合いばっかりだったら別に自鯖にCA仕込んで
CA証明書クライアントに配って終わり。
上位CAと信頼関係確立したいんなら素直に金払えよこの貧乏人が。

17 :DNS未登録さん:03/12/29 15:00 ID:AKp7DuQ6
>>16
勝手に終わりにしないでくれ。
せっかく>>15みたいに良い情報出てきたばかりなのに。


18 :名無しさん@お腹いっぱい。:03/12/30 16:01 ID:???
くだらん。藻前らヴァカばっか。
by よしかわ与太郎風

19 :DNS未登録さん:03/12/30 16:13 ID:???
馬鹿ばっか
by ルリルリ風

20 :DNS未登録さん:03/12/30 17:07 ID:???
このスレに↓が潜伏してる?
http://pc2.2ch.net/test/read.cgi/hosting/1018148651/


21 :DNS未登録さん:03/12/30 17:16 ID:???
最近矢印を使う奴増えたな。
大抵言いたい事も良く伝えられない厨房なんだけどな。

22 ::03/12/30 18:02 ID:???
↑↑↑

23 :DNS未登録さん:04/01/05 17:59 ID:K+BGwjsb
>>15
Thanks! これか。
http://www.instantssl.com/

国内代理店はここみたいだね。
http://www.trustlogo.co.jp/

24 :DNS未登録さん:04/01/06 22:55 ID:???
http://www.ev1servers.net/english/index.asp

ここだと$19.95でChainedSSLの証明書が取得できる。
ただ、InstantSSL Proのように個別にLogoをもらえないんだよね。

まぁ、そこは値段との兼ね合いかな?
とりあえず警告でないだけいいや。と思って使ってます。

25 :DNS未登録さん:04/01/08 10:01 ID:x+jSlQnq
こういった安い証明書を携帯ブラウザが受け入れるのかどうか知りたいよね。
漏れauのbrew機使っているので、自宅サーバでp2使ってます。
生のhttpにパスワード流したくないので、ssl用意したら、
携帯ブラウザが自己証明書を拒否してくれて...


26 :DNS未登録さん:04/01/08 11:51 ID:RMqYSyCQ
金持ち父さん貧乏父さんを読みましたか?アメリカでは日本とさほど物価が変わらないのに
広い庭にプール付の一戸建てを持っている人多いですよね?
それはアメリカ人の大半が『不労所得』を得ているからです。
日本でも既に始まっています。下の最強情報です。初心者向けなので安心です。
みんな黙っているけど、隣の人も不労所得を得ているんですよ。
お金に興味の無い方は見ないでください…驚愕の内容なので。

http://www.google.com/search?q=%E6%9C%80%E5%BC%B7+%E3%83%90%E3%83%96%E3%83%AB&ie=UTF-8&oe=UTF-8&hl=ja&lr=

27 :15:04/01/08 16:40 ID:???
>>25
やってみました。
うちはauのA5402Sですが、拒否されました。
「このサイトは安全でない可能性があるため接続できません(発行者エラー)」
てなかんじです。

28 :DNS未登録さん:04/01/09 03:17 ID:S9VUSwL6
たしかAUはベリ以外ダメだったような・・・。

29 :DNS未登録さん:04/01/09 06:31 ID:kRPMaqeG
http://www.au.kddi.com/ezfactory/tec/spec/ssl.html
>WAP2.0搭載端末およびEZサーバには次のルート証明書が組み込まれています。
>
>・VeriSign Class 3 Primary CA
>・RSA Secure Server CA
だってさ、うーむ。


30 :29:04/01/09 06:57 ID:???
http://slashdot.jp/comments.pl?sid=124426&cid=408831&pid=408831&startat=&threshold=-1&mode=nested&commentsort=0&op=%CA%D1%B9%B9
なんかの話だと
SECOM/EntrustでもAUは大丈夫みたいだね

31 :DNS未登録さん:04/01/20 21:47 ID:???
あげ

32 :DNS未登録さん:04/01/21 00:09 ID:???
ベリでOKてことは、
thawteもOKてこと?

33 :DNS未登録さん:04/01/25 11:31 ID:CSGvseYn
COMOD〇は i-mode対応してるらしいYO。
http://www.trustlogo.co.jp/handy_phone.htm

34 :DNS未登録さん:04/01/28 16:31 ID:???
あげ

35 :DNS未登録さん:04/01/29 13:44 ID:667nh6Ek
法人のサイトに使用するんだけど、
この場合、法人名義でとるのと、個人名義(担当者名義)で
取るのどちらがいいんでしょう?
法人だと書類が手間がかかりそうで。

36 :通りすがり:04/01/29 14:22 ID:MSWkojGm
教えて下さい。
SSL サーバー証明書って作れないですか?

37 :DNS未登録さん:04/01/29 14:35 ID:???
>33
i-modeはどうでもいいんだよ。自己署名だって警告は出るけど受け付けるし。
Ez-webはどうなんだろね。

>35
常識で考えよう。
そのサイトは担当者の趣味か?それとも会社としてやってんのか?

38 :37:04/01/29 14:49 ID:???
お、auのA5501Tで https://www.trustlogo.co.jp/i/ にアクセスしたら
ちゃんと警告無しでつながったYO!
ここの一番安い証明書買ってみようかな。

39 :DNS未登録さん:04/02/02 06:36 ID:WZrEEx7M
保守アゲ

40 :DNS未登録さん:04/02/03 01:19 ID:MeS9YLnu
>>38

       巛彡彡ミミミミミ彡彡
       巛巛巛巛巛巛巛彡彡
   r、r.r 、|:::::           | 
  r |_,|_,|_,||::::::     ⌒   ⌒|
  |_,|_,|_,|/⌒     -="-  (-="    
  |_,|_,|_人そ(^i    '"" ) ・ ・)""ヽ  
  | )   ヽノ |.  ┃`ー-ニ-イ`┃    そうでっか、そうでっか、なるほどね
  |  `".`´  ノ   ┃  ⌒  ┃|  
  人  入_ノ´   ┃    ┃ノ\ 
/  \_/\\   ┗━━┛/ \\
      /   \ ト ───イ/   ヽヽ
     /      ` ─┬─ イ     i i
    /          |      Y  | |
    /           |      ヽ__|_|

       巛彡彡ミミミミミ彡彡
       巛巛巛巛巛巛巛彡彡
   r、r.r 、|:::::           |
  r |_,|_,|_,||::::::     /'  '\ |
  |_,|_,|_,|/⌒      (・ )  (・ )|
  |_,|_,|_人そ(^i    ⌒ ) ・・)'⌒ヽ
  | )   ヽノ |.   ┏━━━┓|
  |  `".`´  ノ   ┃ ノ ̄i ┃|
  人  入_ノ´   ┃ヽニニノ┃ノ\   ・・・・で?ロリポップがサービス悪いとでもいいたいの?
/  \_/\\   ┗━━┛/|\\
      /   \ ト ───イ/   ヽヽ
     /      ` ─┬─ イ     i i
    /          |      Y  |


41 :DNS未登録さん:04/02/03 04:37 ID:iFvVIIIV
>>36
opensslで作れ
http://www.openssl.org/

42 :DNS未登録さん:04/02/06 02:41 ID:axiZN64u
質問age

www.hoge.comという形でSSLを使いたいんですが、
申し込みをしようとしているCAではサブドメインについては別登録ということになっていました。
(mail.hoge.comとdb.hoge.comでは二件買いなさいってことだと思います)

wwwはサブドメインとして考えて「www.hoge.com」で登録すればいいんでしょうか?
それともwwwはサブドメインではなく「hoge.com」でしょうか?

エロい人教えてください。

43 :DNS未登録さん:04/02/06 03:51 ID:Jl+oApmv
>206
www.hoge.comとしてweb公開していたり、通常のアクセスをかんがえているなら、
www.hoge.comで取る。
ちなみに、負荷分散しているとき(webが複数台)もその台数分必要といわれた
<SSL販売会社に

hoge.comへhttpsでアクセスすると、警告画面でるよ。
前さがしていたときは、海外で、xxx.hoge.com(xxxはなんでも)とド
メイン単位の割安販売しているところもあった。
漏れは、それでも、1つ分よりは高いから、wwwだけでとったけど。

44 :DNS未登録さん:04/02/06 11:02 ID:???
>>42
あたりまえ。FQDNじゃないと何の証明にもならない。
たとえば、「.jp」とか「.com」とかの証明書を取得すれば全世界どこのホストも
騙れることになっちゃうだろ。


45 :DNS未登録さん:04/02/06 11:35 ID:CQiTSgsy
>>44
そういう言い方は変だな

46 :DNS未登録さん:04/02/06 13:00 ID:???
じゃあ普段
http://hoge.com/
へアクセスしてもらってる場合でも、
https://hoge.com/
にするのはムズイって事ですか?

47 :DNS未登録さん:04/02/06 13:01 ID:???

ああ、なんか直リンになってしまった。
スマソ

48 :DNS未登録さん:04/02/06 16:26 ID:???
>>46
それはできる。

49 :DNS未登録さん:04/02/07 00:55 ID:uvTefnfs
やはりwww.hoge.comにしないと意味がないようですね。
教えてくれてありがとうございます。

ttps://www.hoge.comを想定していたので>>46さんのとは違う状況でしたが

ということでテスト発行してもらってから、申し込みをしてみようかと。

50 :DNS未登録さん:04/02/07 03:44 ID:???
ワイルドカード証明書 *.hoge.com を発行する会社は以前あったが、
いまはしらん。


51 :めこ:04/03/03 05:14 ID:A5dBA4XZ
http://www.h7.dion.ne.jp/~c-c-i/
↑おれのホムペ!
中国で儲けよう!!

52 :DNS未登録さん:04/03/13 01:45 ID:tUTgnHWW
総警が値上げしたから、とりあえず安いとこ探したの。
トリトンってとこにしたよ、前レスでもあるやつ。
法人で申し込んだけど、サクッと設置完了。
悪くないよ。

53 :DNS未登録さん:04/04/03 07:06 ID:vD9yk5t8
ttp://onlinessl.jp/product/starterssl.html

こんなのどうよ。

54 :DNS未登録さん:04/04/03 20:22 ID:wG1/7ZFJ
         (::::::::::::::)         (:::::::::::::)  ……スレ違い
          )::::::::(           ):::::::(
        /::::::::::::;\        /::::::::::::; \
       // |:::::::::::: l |       //´|:::::::::::: l |
       | | .|:::::::::::: | |       | | |:::::::::::: | |
        | | /::::::::::::/| |      // /::::::::::::/| |
        U |::::::::::/ U      U  |::::::::::/ | |
         |::::||:::|  | |    | |  |::::||:::|  U
         |::::||::|   | ∧∧//  |::::||::|
          | / | |   ( ゜д゜ )/   | /.| |
         // | |   |    /   //  | |
        //  | |   | /| |   //   | |
       //   | |   // | |   //   | |
       U    U  U  U   U     U


55 : :04/06/15 10:46 ID:+5y72fx9
保守

56 :37:04/06/15 14:16 ID:???
最近au 5501Tが故障したので、修理に出したら5401Tが代替機できました。
そこで>38のURLにアクセスしようとしたら、証明書エラーですた....

まぁ買ってないからいいんだけどさ。

57 :DNS未登録さん:04/08/05 12:56 ID:5SjchHnN
質問です

SSLを導入すると認証局とやらに
多額の金を払いますよね?
そのような事をせずに、SSLを導入することは可能でしょうか?
それが「自前認証局」という奴でしょうか?
この「自前認証局」にすれば、無料でSSLに対応できるのでしょうか?

どうぞ、お教えくださいませ。


58 :DNS未登録さん:04/08/05 13:21 ID:???
他人から見た「信頼」が特に必要ないのであれば(SSLで暗号化だけできればいいのであれば)
導入に認証局は不要。

59 :DNS未登録さん:04/08/05 13:24 ID:???
>>57
証明機関でもインストールすれば?

60 :DNS未登録さん:04/08/05 13:31 ID:???
年41ドルも払えない奴がSSL入れようとするなよ。
お前が取り扱おうとしている情報はそれよりも遥かに高い。

61 :DNS未登録さん:04/08/05 18:19 ID:???
メールアドレス1件につき1円〜2円
100件100〜200円で、およそ$1.5
41/1.5=27
27*100=2700

∴取り扱うメールアドレスが2700件以下の場合は、SSLを入れる方が高い。

62 :DNS未登録さん:04/08/05 18:33 ID:???
>61
一体これは何の計算なんでせう?

63 :DNS未登録さん:04/08/05 18:35 ID:???
>57
httpsサーバ立ち上げられれば、わかるかもしれないから、
とりあえず自分でサーバ立ち上げて見ろよ。


64 :DNS未登録さん:04/08/05 18:43 ID:???
ハゲを禿しく励ます。

65 :DNS未登録さん:04/08/05 18:44 ID:???
>>62
http://pc5.2ch.net/test/read.cgi/mysv/1091282027/87

66 :DNS未登録さん:04/08/06 00:27 ID:YI/llkFw
>>60
年41ドルで何ができるのですか?
カード使えるようになるのですか??


67 :DNS未登録さん:04/08/06 14:16 ID:???
>>66
てめ〜で考えやがれ!

68 :DNS未登録さん:04/09/05 22:47 ID:ORWpSuHM
>>38
37じゃないけど、買ってみた。印鑑証明に実印がいるとは驚き。
発行要求を送った後に自宅サーバの秘密鍵を消してしまった、というチョンボを
やったけど、無料で再発行してもらえた。

携帯(AU A5406CA)からもちゃんとアクセスできる。

ただし、証明書を表示させると、自宅住所がばっちり表示される。
ここは印鑑証明いるから嘘を書けないんだよね・・・。

あ、あと、エロサイトには使えません、だってさ。
エロサイトにする気もないけど。

69 :DNS未登録さん:04/09/06 00:07 ID:???
>68
まぁ証明書は本来何処の誰かをはっきりさせる為に使う物だからね。
印鑑証明ぐらい要求されるのはやむを得ないと思う。

しかし金を扱わない自宅サーバ程度で、住所を隠せないってのはなぁ。
ドメインみたいに証明書発行業者の住所で登録できるようにしてくれれば
いいのに。補償無しでいいからさ。

70 :DNS未登録さん:04/09/06 13:31 ID:???
>>69
ドメインと違ってPKI (Public Key Infrastructure)は階層構造的に認証を構築する
から、発行業者名義(匿名)というわけにはいかないんだ。

AはBを信頼し、BはCを信頼するというモデルだから、Cが匿名だったりすると
Bの信頼性が崩れてしまい、それに伴って共倒れでAも信頼できなくなってしまう。
セキュリティホールと同じで漏れが一つでもあるとダメというのと同じだな。

さらに日本では電子署名を公的認証として利用できるようにする法律
「電子署名および認証業務に関する法律(通称・電子署名法)」があって
法的に有効性が明示されているので、匿名で鍵を発行してしまうとそれが犯罪
行為に利用されてしまったとき、鍵を発行した業者は犯罪の共犯者に
なってしまう(直接の判例はないが私的機関が発行した匿名の証明書で
共犯が成立した事例はある)というのもある。

71 :DNS未登録さん:04/09/08 16:21 ID:djsRaT5t
携帯に対応していて
アダルトにも対応していて
安い認証局といったら、ズバリどこでしょうか?

72 :DNS未登録さん:04/09/08 17:41 ID:cplWzskf
でもざっと通販サイト目を通した限り、ベリしか認証局見た事無いけど。。。
特に携帯のブラウザからの拒否を考えればそうなってしまうのか?

73 :DNS未登録さん:04/09/22 11:29:45 ID:lNOT28it
WindowsとLinuxってキーペアファイルに互換性あります?
乗り換えようかと思っているんですが・・・

74 :DNS未登録さん:04/09/22 11:50:49 ID:R+jk70yV
>>73
どういう形式でキーペアを受け取っているのかわからんが、apache+SSLなら
大抵の鍵形式を受け入れてくれるし、もしダメでもopensslを使って変換
することもできる。心配しなくてよし。

75 :73:04/09/22 12:52:06 ID:???
>74
ありがとうございます!安心しました〜
さっそく挑戦してみます!

76 :DNS未登録さん:04/10/12 11:22:04 ID:???
StarterSSLを使うと印鑑証明は要らないでFA?

自宅鯖&厨房にはキツすぎますよ。印鑑証明。


77 :DNS未登録さん:04/10/12 12:32:03 ID:???
>>76
自己署名にすれば?

78 :DNS未登録さん:04/10/12 12:38:44 ID:???
今、自己認証局&サーバー署名でやってるんですが
やっぱり警告ダイヤログがウザくて...。

一応CA証明書をWebにも貼り付けているんですが
これをインストールしてからアクセスしてくれる人が
あんまりいないw

いまキャンペーンで$19/年らしいので、ちょっと
検討してみようかと。



79 :DNS未登録さん:04/10/12 16:07:52 ID:???
>>78
http://www.onlinessl.jp/content/chained_qa.html

StarterSSL / ChainedSSL Wildcardで採用されているオンライン本人確認システムとはどのようなものなのでしょうか?

FreeSSL.comのオンライン本人確認システムは、SSL申請者とドメイン管理者、もしくはSSL申請者とサーバ管理者が同一人物、もしくは同一組織であることを確認します。
申込時に予め指定したメールアカウント、もしくはWHOISに登録されているメールアドレスへ本人確認メールを送信し、メールに添付されてあるURLをクリック、リンクがなされているウェブ上でSSL申請したことを認めるボタンをクリックすれば、本人確認は完了となります。

---
となってるから、要らないんじゃないかな。

でも、これって全世界のCAに対する信頼失墜行為だよなあ。
ルート証明書経由でも信頼できないサイトが存在し得ることになってしまう。

80 :DNS未登録さん:04/10/13 00:16:39 ID:???
>>79
何がどう信用できないのだ?

ちなみにSSLってのは商行為に信用を与えるものではないぞ。

81 :DNS未登録さん:04/10/13 10:33:02 ID:???
>80
まぁまぁ、79はPKIに理想を求める香具師なんだろ。
個人サーバ用には79の理想は制約がきつすぎるんだよなぁ。
ぶっちゃけ、auの携帯が自己署名を受け入れてくれれば、
別に証明書なんて買う必要まったくなしなんだな。

82 :79:04/10/13 11:02:40 ID:???
>>80
「SSL」(なり、TLSなり)は、確かに暗号化だけを担う技術だが、残念ながらHTTPSプロトコルには
サーバ認証という機能も含まれてしまっているんだよ。RFC2246とか、この辺↓とか参照のこと。
http://www.nic.ad.jp/ja/newsletter/No23/080.html
>>81の言っている「PKI」ってのはこれな。


>>81
そうだねえ。
そもそも、「暗号化」と「証明」をいっしょのプロトコルにしているのが間違ってると思うよ。
最初にNetscapeが「鍵マーク」のみじゃなくて、「暗号化マーク」と「認証マーク」の両方が表示されていれば
安全と呼べる、みたいな仕様にしておけばよかったんじゃないかと。
んで暗号化だけとかサーバ認証の片方だけ必要な人は片方だけ利用する、というかんじで。

83 :DNS未登録さん:04/11/02 22:32:43 ID:vPyjfk5t
age

84 :DNS未登録さん:04/11/15 21:47:39 ID:ewk1LACb
GeoTrustおよびその子会社のFreeSSL.comって、
代理店とかリセラーとか日本にうじゃうじゃあるみたいなんですけど、
しかも一部を除いてサイトの案内が直訳文章だったりして怪しいんですけど、
どういう位置関係なんでしょう?

GMOのグループ会社の「日本ジオトラスト」だけはまともっぽいんですが、
しかし日本の総代理店ということでもないみたいだし、
安価なFreeSSL.comのサービスについては現状では扱っていません。

FreeSSL.comのしっかりした代理店を望みたいところなんですが。

85 :DNS未登録さん:04/11/16 01:12:53 ID:???
>>84
しっかりしてないから安いのだよ。

FreeSSLじゃなくて、もっと高いのを買えばいい。

86 :DNS未登録さん:04/11/16 01:59:55 ID:f23MjBry
いやですよ、おふだに大金払うなんて。
本来暗号化だけで十分なんで。

87 :DNS未登録さん:04/11/16 07:55:56 ID:vJ78gK5n
暗号化だけでいいなら自己発行してろウ"ォケ

88 :DNS未登録さん:04/11/16 12:06:14 ID:???
>87
auの携帯さえなければそれで十分なんだが。
馬鹿な仕様変えろよ>KDDI

89 :DNS未登録さん:04/11/22 21:04:18 ID:+RSSDQu5
IEにデフォルトで入っているルートCAもしくは中間CAの中で、
サーバ証明書を無料で発行してくれる所はありますか?

90 :DNS未登録さん:04/11/22 21:30:00 ID:sVJHEs4c
ない βακα..._φ(゚∀゚ )アヒャ

91 :DNS未登録さん:04/11/22 21:35:40 ID:???
俺、オンラインショップでベリサインの証明書使ってるが、高いね。
個人でベリサインは珍しいかな。

92 :DNS未登録さん:04/11/22 22:08:15 ID:+RSSDQu5
やはり無料の所は無いですか。

そうですね。高いですね。
キャンペーン中で無料のはあるみたいですけどね。
確か1ヶ月でしたかね。
せめて半年ぐらいあるといいんですが。

93 :DNS未登録さん:04/11/23 04:12:27 ID:???
証 明 書 ご と き に 金 も 出 せ な い
貧 乏 人 が サ ー バ あ げ て
な に を や ら か す つ も り で す か ?

94 :DNS未登録さん:04/11/23 05:34:12 ID:???
つりですが?

95 :DNS未登録さん:04/11/23 10:56:07 ID:???
暗号化されるだけでいいから
自己発行してるのに
それだと警告メッセージがでてしまう

httpとhttpsって
帯に短し襷に長しってやつでしょうか?

96 :DNS未登録さん:04/11/23 11:03:23 ID:???
暗号化が必要なぐらいセンシティブな情報なら、当然に身元の確認も必要だろうという有難き配慮。

97 :DNS未登録さん:04/11/23 22:17:38 ID:???
>>96
マジ質問なんですけど

暗号化だけしてても
身元が確認されてないと
なにか不正などできてしまうのでしょうか?

98 :DNS未登録さん:04/11/23 22:41:03 ID:???
ある種の細工で、DNS応答には嘘の情報を混ぜることができる。
amazon.co.jpのつもりで繋いだ相手が本物そっくり(てかproxy)の巧妙な偽ホストならば、
入力したクレジットカード番号は盗み見されるだろう。

99 :DNS未登録さん:04/11/24 02:46:36 ID:???
本当に危ない場合はクライアントSSL発行するだろ?
サーバ側キーのみで「誰でもカモン!」なんて危なさ過ぎ。

100 :97:04/11/24 08:55:03 ID:???
>>98
なるほどー
ありがとうございました

その場合、偽サーバでも独自証明書なら
コモンネームamacon.co.jpで作れてしまうから
クライアントは本物か分からない。
べリサインなどが証明したものなら
偽装はできないから安心
っていうことですよね。


101 :DNS未登録さん:04/11/25 23:36:17 ID:???
>>95
ですねー。
錬金術というか利権をつくり出したかったんでしょうね。Netscapeは。
まったく迷惑な話です。

102 :DNS未登録さん:04/11/25 23:45:07 ID:???
「おれは信頼できるぞ」と自称するものほど信じられないものはない。
誰か第三者が信頼性を保証してやる必要がある。

それをやってるだけなのになんで利権なんて言葉が出てくる?

103 :DNS未登録さん:04/11/25 23:55:43 ID:???
みんな!俺を信じてくれ!!

104 :DNS未登録さん:04/11/26 00:36:50 ID:???
>>102
他に暗号化ができてかつ
安価なしくみがあればいいんだけど
SSLは年間数万+作業が必要と
とうてい手軽とは言えない。

105 :DNS未登録さん:04/11/26 00:41:33 ID:l0mrnFKZ
手軽に出来ないからこそ価値があるんじゃないのか?

106 :DNS未登録さん:04/11/26 01:49:13 ID:???
http -> https
だと一気にハードルが上がりすぎなんだよな
相手は証明しないけど、暗号化はする
ってのが欲しいな

107 :DNS未登録さん:04/11/26 04:14:09 ID:???
だから。それが独自認証局だと
何度言えばわか(ry

108 :DNS未登録さん:04/11/26 08:04:32 ID:aDbWHMWH
とんでもないアフォがいるスレはここでつか?

109 :DNS未登録さん:04/11/26 09:22:57 ID:???
>>107
それだとメッセージがでるだろっちゅうの

証明書インストールすればいい
っていうレスは不要

>>105
価値?w

110 :DNS未登録さん:04/11/26 09:50:30 ID:???
こんなところでゴネてないで働いて10万位払えばいいやんか。

111 :DNS未登録さん:04/11/26 10:28:43 ID:F/7X1b6H
暗号化と認証の分け方が中途半端だったのが問題なわけ。
認証が必要なのに独自認証局では問題だけど、
暗号化だけ必要なのに
「こいつは信用できないかもしれませんよ」
なんて関係のないことを言うなっての。

「このサイトとの通信は暗号化されています」
「このサイト(の運営主体)は○○によって認証されています」
の2通りがそれぞれ別個にきちんと実現できればいいわけ。

盗聴が難しいデジタル方式のコードレス電話を使ってたって、
オレオレ詐欺の電話はかかってくるし、
普通の相手でも言ってることが正しいかどうかは別問題じゃん。

112 :DNS未登録さん:04/11/26 11:00:42 ID:???
なんか無知が跋扈してるなぁ。
暗号が暗号として機能するためには、
通信相手の暗号鍵を正しく検証できなければならない。

>暗号化と認証の分け方が中途半端だったのが問題なわけ。

分けて考えるのは暗号を知らないアホだけ。

113 :DNS未登録さん:04/11/26 11:26:58 ID:???
うほっ

114 :DNS未登録さん:04/11/26 11:31:22 ID:???
それはドメインの登録管理業務に含めばよかないか?

実際GeoTrustのQuickSSLとかStartarSSLなどのタイプは
ドメインの登録管理業務に含められるでしょう。
そうすればそのコストはもっと低くなるはず。
まぁStartarSSLはそこそこ安いっちゃぁ安いけど。

115 :DNS未登録さん:04/11/26 13:16:13 ID:???
>101
少なくともNetscapeは証明書で儲けてない。
証明書で不労所得を一番得ているのは Verisign。
まぁRSA作った連中だから、文句も言えないが。

116 :DNS未登録さん:04/11/26 15:48:53 ID:???
>>112
暗号鍵が検証できなければ
利用できないだけじゃないの?

今は普通に利用するフォームの情報が
簡単に盗聴できることが問題だと思う。
それが暗号化されるだけでも
だいぶ違うと思うんだけどなー

112はベリサインの人か同様のサービスをやってる人?


117 :DNS未登録さん:04/11/26 18:29:32 ID:???
>>116
少なくとも現状よりセキュリティレベルを下げることになるのでだめだろうな。

今は「わざわざ証明書の正否を確認するなんていうめんどくさいことはしない人」も
証明書と鍵がセットの仕様によって救われているが、暗号化はされているけどサーバ証明はされていない
詐欺サイトに上記のような人が引っかかった時、「確認しなかったやつが悪い」に変わってしまうので非常に問題だ。

118 :DNS未登録さん:04/11/26 18:31:22 ID:aDbWHMWH
とことん自分の事しか考えられない奴だな。
フォーム利用者にとっては、通信が暗号化されていても
通信相手が真正か証明できなければ何の意味もない。

119 :DNS未登録さん:04/11/26 19:24:40 ID:???
>>118
このスレでも何度かループしているけど、
どうして理解できないんだろうねえ??

120 :DNS未登録さん:04/11/26 19:50:16 ID:???
暗号化されていようが証明書があろうが信用できないサイトはいっぱいあるし、
法人登記されている会社でも悪事を働いてるのはいっぱいいる。
証明書をもって詐欺ではないことなど証明はできん。
暗号化は盗聴や途中での漏洩を防ぐための手段であって、
それ以上でもそれ以下でもない。

121 :DNS未登録さん:04/11/26 20:09:10 ID:???
暗号の信頼性と社会的信用をごっちゃにする>>120みたいなバカがいるから
くだらない内容でこのスレがループするんだ。

122 :DNS未登録さん:04/11/26 20:26:12 ID:???
自分が自分のために使って他から触られたくない程度なら自発行SSLで充分。
他人を信用“させたい”のなら金払え。

でFA?

123 :DNS未登録さん:04/11/26 20:31:47 ID:???
>>122
いや、手軽に暗号化できるべき

124 :DNS未登録さん:04/11/26 20:42:11 ID:???
登記簿謄本があったら暗号化の何を信用させられるの?
登記簿謄本がなかったら暗号化の何が信用させられないの?

125 :DNS未登録さん:04/11/26 20:58:59 ID:???
スレ的にはこういう議論は合っていると思う。
心行くまで議論なさって下さいと思う。

126 :DNS未登録さん:04/11/26 21:20:18 ID:???
>>125
会話がループしてるので、議論になってないです

127 :DNS未登録さん:04/11/26 21:45:41 ID:???
心行くまでループなさって下さいと思う。

128 :DNS未登録さん:04/11/26 21:59:20 ID:???
>いや、手軽に暗号化できるべき

自己証明で手軽でないというのならばやめるべきかと。

まず何よりも SSL とか PKI とかをせめて概念だけでも正確に理解すべし。

129 :DNS未登録さん:04/11/26 22:27:37 ID:???
>>128
自己証明が手軽だと思ってんのかよ。
もっと客観的にみてくれ。
んで、SSLとPKIの概念がわかるとどうなるって言いたいんだ?

>>125
リアルで周りに嫌われてるだろ?


130 :DNS未登録さん:04/11/26 22:43:50 ID:???
>んで、SSLとPKIの概念がわかるとどうなるって言いたいんだ?

たいへんすばらしい捨て台詞をいただきましたので一方的に終了させていただきます。
議論になってないのは承知してたけど、もう少しは話が通じるかと思ってたよ。


131 :129:04/11/27 01:32:51 ID:???
>>130
どうなると思ってるのか
聞きたかっただけなんだけど
肝心なとこ答えないのね。
まーいーや。

132 :DNS未登録さん:04/11/27 03:57:40 ID:???
129は本屋でPKI関係の本を立ち読みしてみれ。
こんな数行で納得させるのは不可能だ。

例えば、独自CAの暗号化で、UAがダイヤログを
「出さない」ことがどんなに危険かわかる。
公開鍵基盤における階層構造がわからないと
通信路暗号化をしても、結局何も守られない
こともわかる。


133 :DNS未登録さん:04/11/27 10:38:18 ID:???
いろんな次元が混じってるのをなんとかしようよ。
「お手軽(安価)に暗号化したい」というのが目的であって、
その他はみんな手段でしょ。

暗号化するにはCAを使う方式しかない(なかった)のか、
ドメインの仕組みに組み込めば安価にできたのではないか、
極めて安価なSSL証明書のサービスはどこか、
それぞれの理解度も違うでしょ。

全部きちんと理解できている人がいらっしゃるみたいだけど、
それならこれらをきちんと分けて話してよ。

134 :DNS未登録さん:04/11/27 12:18:10 ID:???
>>132
>例えば、独自CAの暗号化で、UAがダイヤログを
>「出さない」ことがどんなに危険かわかる。

というのは、現在のSSLが”暗号化”+”相手先の認証”という二つのプロセスが入ってるからだろ
でもそうでなくて、"暗号化"だけのが欲しいって話じゃないのか?

ここでぐだぐだ言ってても解決しないけど

135 :DNS未登録さん:04/11/27 12:45:34 ID:???
だから、相手先を認証しない暗号は無意味なの。
それが暗号の基本なの。

136 :DNS未登録さん:04/11/27 13:22:10 ID:???
sshやscpはどう理解すればいいの?

137 :DNS未登録さん:04/11/27 13:46:52 ID:???
>>136
もちろん相手が真正なものかどうかちゃんと確認してる。
接続先のホスト鍵が前回接続したときと違っていればちゃんと警告されるでしょ?


138 :DNS未登録さん:04/11/27 14:10:46 ID:???
つまりsshやscpは一般的には自己証明を使ってるってことになるの?
もしかしてSSL証明書を購入してインストールすることもできたりする?

現状のhttpsの仕組みに不満をもつ人の多くが思ってるのは、
sshやscpのようにお手軽にできないのか(できなかったのか)ということだと思うんだけど、
それは単に警告メッセージの発し方が大袈裟に見えるか見えないかが
違うだけってことなの?

139 :DNS未登録さん:04/11/27 14:19:10 ID:???
>>138
sshだって初めて接続するときには
メッセージ表示されるだろうが。馬鹿か?


140 :DNS未登録さん:04/11/27 14:33:15 ID:???
だからさー、それは自己証明ってことなんじゃないの?違うの?

141 :DNS未登録さん:04/11/27 15:02:33 ID:???
ssh でも初回接続時にはホスト鍵のフィンガープリントが表示される。
このフィンガープリントが正しいものなのかどうかは、電話のような
他の手段を使って管理者に問い合わせれば真正なものか確認できる。

だが、HTTPS のような不特定多数から使われるものでは、煩雑になるので
そんな確認はしてられない。よって、信頼ある CA の鍵を事前に入手しておき、
その CA から認証された鍵は安全とみなす、という方法を取る。
# ssh も規格上は CA によって認証された鍵も使うことができるらしい。

ssh がお手軽というが、ホスト鍵の確認をしっかりやろうとすれば
それなりに面倒。逆に自己署名 SSL でも、CA の証明書をクライアントに
インストールしておけば、その CA で認証されたところへの接続は
めんどうな確認を自動化できる。

142 :DNS未登録さん:04/11/27 15:11:40 ID:???
リアルで周りに嫌われてる厨房が必死なようです(嘲笑

143 :DNS未登録さん:04/11/27 15:19:44 ID:???
週末の昼下がりから2chか……
みんな友達いないんだなwww

俺たち、友達になれそうだなw

144 :DNS未登録さん:04/11/27 15:30:24 ID:???
キモッ

145 :DNS未登録さん:04/11/27 16:23:30 ID:???
自演乙

146 :DNS未登録さん:04/11/27 18:34:38 ID:???
>>141
信頼できないCAだって場合はどうなるのだろう?

147 :DNS未登録さん:04/11/27 19:49:48 ID:???
自演乙

148 :DNS未登録さん:04/11/27 22:34:23 ID:???
池沼が本すら読まずに憶測だけで騒ぐスレは
ここですか?

149 :DNS未登録さん:04/11/27 22:41:39 ID:???
"ちゃんばば" のかほりがする。

150 :DNS未登録さん:04/11/27 23:23:53 ID:???
"本7"のかほりはしない。

151 :DNS未登録さん:04/11/28 00:35:05 ID:???
なるほど。ってことはその通信している相手(サイト)が信用できることがわかっている(確かめられた)なら、
自己証明であっても「暗号化」は完全なんですね。

また、114にあるような、ドメインの登録管理業務に含めるかたちで
ワイルドカードSSLがドメインの基本機能に含まれて運用されていたなら、
(別途個別のSSLも現在のように申し込めるように)
安価かつお手軽に利用できる可能性もあったわけですね。
これはちょっと残念な気がしますね。

152 :DNS未登録さん:04/11/29 19:22:08 ID:???
>「暗号化」は完全なんですね。
完全は無い。
基準に達している、というくらいのもの。

153 :DNS未登録さん:04/11/29 22:24:42 ID:???
完全なものなど....

154 :DNS未登録さん:04/11/29 22:37:30 ID:???
自己証明でないものと比べて、って話でしょ。

155 :DNS未登録さん:04/11/30 10:59:45 ID:???
>>151
つまり君は「警告ダイアログが出る状態は『利用できる』という状態とみなさない」ということか?
# あうの携帯で使えない、とかいうのは携帯側の問題であってSSLの仕様の不備ではない

今でも、ルート証明書がIEなりもじらなりに入っていないサーバ鍵を安価で、あるいは無料で
発行してくれるサービスは存在するぜ?(>>13みたいなのね。ここは今やってるかどうか知らないけど)

156 :DNS未登録さん:04/12/01 00:44:01 ID:???
意義すらわからない房が暴れてるだけだろ。

157 :リアル3歳児 ◆Real32qXyg :04/12/01 23:01:47 ID:???
1ですが、このスレまだあったんですね。


158 :DNS未登録さん:04/12/02 01:27:39 ID:???
OnlineSSLでのStarterSSLのプロモーション価格が値上がりしてますね。

159 :DNS未登録さん:04/12/04 16:56:52 ID:???
久しぶりにこのスレ来たら盛り上がってるなと思ったらこんなレベルの低い話題だとは。
でもある意味すげーな。同じ説明がこれだけループしてるのに
それでもわからない馬鹿がいるとは・・・・・・。


160 :DNS未登録さん:04/12/04 22:57:43 ID:???
>159
粘着馬鹿が一人いれば、何百回だってループはするわな。
ループの脱出条件がないんだから(藁

161 :DNS未登録さん:04/12/04 23:47:49 ID:???
わかってないやつどうしが
レスしあってるからだろ

162 :DNS未登録さん:04/12/05 18:58:09 ID:???
素朴な疑問なのですが
CSRつくってベリサインなどに送って
送り返されたサーバIDをサーバにインストールしますが
これを他のサーバにもインストールすることってできるのでしょうか?

Webサーバを移転するときなど
有効期限が残ってれば
新しいサーバでも使えるのでしょうか?

163 :DNS未登録さん:04/12/05 19:24:41 ID:???
>>162
身分証明書を他人が携帯してたら身分証明にならんだろ。

164 :DNS未登録さん:04/12/05 19:26:17 ID:???
あ、そ

165 :DNS未登録さん:04/12/05 21:11:10 ID:cEgTT3CP
素人便乗質問で申し訳ないのですが、
FQDN名が全く同じでも移転利用出来ないのでしょうか?
サーバ構成見ているわけでもなく、ましてやIPアドレスでもないですよね?

166 :DNS未登録さん:04/12/05 22:18:36 ID:???
>165
それは他人が持っていたFQDN(domainごとか?)と証明書を譲り受ける事が
できるか?ってことかな?

FQDNやdomainは譲渡可能(一部不可:属性jpなど)だが、証明書は譲渡不
可能なはず。正確なところは契約書を確認してみたら。法人が取得した
証明書なら、法人ごと譲渡を受ければ可能かもしれんが。
#そもそも証明書が何を証明しているかを理解すれば、自明な事なんだが。

167 :DNS未登録さん:04/12/05 23:21:36 ID:???
単にレンタルサーバの引越しじゃないか?
このへん参考に。
ttp://www.verisign.co.jp/server/help/faq/indext.html#f003

168 :DNS未登録さん:04/12/06 08:29:01 ID:???
>>167
> キーペアファイルの互換性のあるウェブサーバへの変更であること

という制限があるんですね。
調べてみます。

ということは証明書には
CSRを作成したサーバのキーとかはとくにかかれてなく
コモンネームとかの情報だけが書かれてるってことなんですね。

169 :DNS未登録さん:04/12/06 11:26:29 ID:???
>>168
> キー***ペア***ファイルの

170 :166:04/12/06 11:29:36 ID:???
>167
その可能性については気がつかなかったよ。Thanks.

171 :165:04/12/06 12:50:54 ID:???
>>166-170
情報ありがとうございます。
帰ってからいろいろ読んでいじってみます。

172 :DNS未登録さん:04/12/07 12:00:37 ID:mWZnkEYt
安い携帯用CA探してるヤシに朗報だが、au&tu-kaの場合は、
https://.../で繋ぐと、端末が持っているルート証明書のみ利用可能となるが、
proxys://...:443/で繋ぐと、文字コード調整用?のサーバを中継するので、
利用できるCAが増えたりする。


173 :DNS未登録さん:04/12/07 13:11:24 ID:???
>>171
自宅サーバーでFreeBSD+apache+mod_ssl構成ではそのままapacheのconf関連を
コピッたらssl認証もOKだったよ

174 :DNS未登録さん:04/12/08 16:05:30 ID:UCbz2kFH
ジオトラストとかベリサインとか、
シールを動的に生成するやつがありますよね。
あれってどういう仕組みでそのサイトを認証してるんでしょうか?
(シールを置いているサイトのURLやドメイン情報の取得)
scriptタグで適当な環境変数を処理して
画像データを返す方法というのはわかるんです。
しかしRefererヘッダはセキュリティツールで遮蔽されることが多く、
他の何らかの方法を使っていると思うのですが。
同じような仕組みを実装したいのですが、方法が分からなくて。

175 :DNS未登録さん:04/12/08 16:15:18 ID:UCbz2kFH
訂正です。
ベリサインはサイト名を値として渡しますので除外されますね。
ジオトラストの仕組みがなぞです。

176 :DNS未登録さん:04/12/10 01:52:42 ID:???
174です。
失礼しました。*.jsが覗けました。
仕組みもイメージしていたものとは少し違うものでした。

177 :DNS未登録さん:05/01/13 00:02:09 ID:???
http://japan.cnet.com/news/ent/story/0,2000047623,20080006,00.htm
日本ジオトラスト、SSLサーバ証明書の即時発行サービスを開始

http://internet.watch.impress.co.jp/cda/news/2005/01/12/6028.html
日本ジオトラスト、SSLサーバー証明書の即時発行サービスを開始

本人確認の方法としては、
Whoisに記載されている当該ドメインのメールアドレスか、
ドメインの「admin」「webmaster」といったメールアドレスに確認のメールを送る。
これにより、証明書を申し込んだドメインの管理者であることの本人確認とする。
メールを受け取ったユーザーがメールに記載されているURLをクリックすることで本人確認は終了し、証明書が発行される。

178 :DNS未登録さん:05/01/13 14:01:16 ID:???
>177
まぁ悪くないかもしれないが、一番肝心なau携帯がサポートされて
おらん。それとも最近の機種には入っているのかな?手元の5501T
(1年ちょっと前の機種)には Equifax Secure Certificate Authority
なんて入ってないよ。

179 :DNS未登録さん:05/01/18 18:23:29 ID:???
決めた。べリサインで証明書申し込んでくる。


180 :DNS未登録さん:05/01/31 23:01:53 ID:???
ハッシュリンクってどんなもんかわかる香具師いる?
証明書を上書きで更新したらハッシュリンクも更新しないとダメ?

ググってみたんだけどよくわからなかったポ

45 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)