SSLで独自CAを設置した場合

IEでブラウジングしていると、ときどき「このセキュリティ証明書は
問題があります」や「このセキュリティ証明書は信頼できる会社から
発行されていません。続行しますか？」などという表示がでます。

今後、自前のサーバをSSLにしたいのですが、ユーザを不安にさせる
ので上記のような表示がでないようにしたいと思っています。
独自CAを自前で設置すれば解決しますでしょうか？
SSLの動作についてまだ理解していなく、どうかお教えください。

No.2 ベストアンサー 回答者： entree 回答日時： 2006/04/01 15:27

> IEでブラウジングしていると、ときどき「このセキュリティ証明書は

> 問題があります」や「このセキュリティ証明書は信頼できる会社から
> 発行されていません。続行しますか？」などという表示がでます。

ブラウザにはあらかじめで Verisign, Thawte, GeoTrust などの有名な認証局のルート証明書がインストールされています。従って、これらの認証局に署名してもらった証明書を利用していれば警告は出ません。ちなみに、チェックされる項目は以下の３点です。いずれかを満たしていない場合、警告が出ます。

- 信頼された認証局 (IE ですと、「ツール」－「インターネットオプション」－「コンテンツ」タブ－「証明書」－「信頼されたルート証明機関」タブで確認できます) によって署名されていない
- 証明書の有効期限が切れてしまっている
- サイト名が証明書の CN (コモンネーム) と一致しない

信頼された認証局には自前の CA で作成したルート証明書を追加できるので、アクセスしてくるユーザが特定であれば、それを追加してもらうことで解決できます。しかしながら、アクセスしてくるユーザが不特定な場合は事実上不可能と考えてください。この場合の解決方法は、お金を出して「信頼されたルート証明機関」にデフォルトで登録されている認証局に署名してもらった証明書を利用することです。

従って、不特定多数の人に公開するサイトで独自 CA を作成することは暗号化要件は満たせるものの認証要件は満たせません (つまり、アクセスしてくる人に信頼してもらえない)。

この回答へのお礼

ありがとうございます！

お礼日時：2006/04/20 17:11

No.3 回答者： noname#17587 回答日時： 2006/04/01 22:35

ユーザがSSLを使う理由としては、

通信内容を暗号化する以外にも、
ユーザが開いたサイトが、あなたの会社が作成したことの証明にも使用されます。

独自CAではユーザから見てあなたのサイトの正当性が確認できないのです(暗号化はできる)
これをユーザが許容するのかが問題になりますね。

この回答へのお礼

ありがとうございます！

お礼日時：2006/04/20 17:11

No.1 回答者： FoggyMountain 回答日時： 2006/04/01 14:46

＞ユーザを不安にさせるので

警告メッセージを隠蔽してユーザを安心させたいのでしょうか？
そんなサイトは迷惑です。

ユーザを不安にさせたくないなら、誰も信頼してくれない独自CAなど立てるのはやめましょう。

この回答へのお礼

ありがとうございます！

お礼日時：2006/04/20 17:11