Apache-SSLを導入して「証明書」の発行を考えています。

社内のシステムを社員限定で社外からもアクセス可能に
することを考えています。

この場合、「自己署名証明書」でいいのでしょうか?
「公的認証証明書」(ベリサインなど)を手に入れる必要はありますか?
(必要性というと御幣がありますが・・・)

EC等の場合、公的認証機関を利用しましょう。
というフレーズをよく見かけるのですが・・・

A 回答 (2件)

社員限定で有れば、シームレスで有る必要が無いと思います。


そうであればいらないのでは?

#必要性があるかもしれませんね(^^;
#その時は必要です。

この回答への補足

さっそくの回答ありがとうございます。
正直、公的認証を受ける方法のサイトを読み。
手続きの面倒さに唖然としていました。

Apache-SSL「自己署名承認書」を利用して
「暗号化」と「デジタル署名」を行ないたいと考えています。

補足日時:2001/12/27 11:55
    • good
    • 0

「暗号化」「デジタル署名」の機能については,「自己署名承認書」でも十分です。



もっとも「デジタル署名」は,使い方に関する社員教育の方に力を入れないとダメかと(^^;;
    • good
    • 0
この回答へのお礼

ありがとうございます。
運用についてはいろいろ社内からも苦情など出そうですね。

周りとの調整をすすめながら導入の方、
行っていきます。ありがとうございました。

お礼日時:2002/01/04 14:46

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QSSLそのものとベリサイン等の認証局の関係

宜しくお願い致します。
ここ最近、SSLについて触れる機会が多く色々と調べていたらちょっと気付いたのですが、SSLという暗号化技術そのものはApacheに後付け出来る機能なのだとわかりました。そうすると、高い年間費を払ってSSL-IDを取得する意味合いが良く分からなくなってきました。例えば、
『多くの人に見られるページはSSL-IDを取得し、管理など他の人間には見られないようなページはApacheに機能をつけるだけ』
という様な使い方の定義みたいな物があれば教えて下さい。金額的に安くないので、その差がはっきりと見えるとうれしのですが・・・

Aベストアンサー

#2のJzamraiです。

さて、他の回答(書き込み)を受けての補足回答は本サイトの主旨に反しかねないとは思いますが、あくまで「回答者や閲覧者にとっての利益」に繋がると信じる(話の本質をより良く理解していただく為の)補足説明を私の方からはさせてください。

#3のsuzuiさんのご指摘、

>>有償のサーバIDは、信頼されたいから使うというよりは、リスクを軽減させるために使うのです。

>>これは嘘ではありませんが、リスクの考慮が不足していると思います。その点はNo.2さんも明確にされていません。

いわゆる「専門家」の方のご意見・ご指摘、私も有難く拝読しましたが、このように断言されてしまうと、正直少々違和感を覚えます。

suzuiさんご紹介の専門家(高木浩光 氏)による下記のブログは、様々な解説や考察(PKIやプライバシーに関する技術論もふくめ)、氏の博識や経験に裏づけされた、関連分野に関心を持つ者にとって非常に有益な内容のものであると私も感じます。

私自身、多大なる恩恵を受けている一人で、定期巡回先とさせていただいています。(ちなみに、nikuqさんの言及されている「公的機関による認証の(惨状!?)じゃなくて”現状”」についての考察(わが国では自治体ベースの話が多いですが。)も読む事が出来ますヨ。)

■高木浩光@自宅の日記■

http://takagi-hiromitsu.jp/diary/20041112.html

これは、日ごろ私が情報セキュリティーについて強く感じていて、関連する話をする際に常に念頭においていることなのですが、

>公人(インターネット上のノードを運用する組織)として、全体的なポリシーをもとに、採用する対策技術についても正しい理解につとめ、これらを正しく管理・運用し続ける事。

>それが有効なリスク軽減策となり、安全な(サイト)運営につながるという事実。(「自組織のリスクヘッジ」と「利用者の安全」という価値提供を可能にする。)

>ひいては、それが当該組織の利益や信用・信頼の獲得につながるという考え方。(リスクヘッジを含めた損得勘定と社会的責任を両立させるという点で。)

上記の内容は、情報セキュリティーについての話の重要な柱ではないかと思っています。(もちろん、さまざまな視点があってしかるべきですが。)

情報セキュリティーの話をする以上、「リスクと利便性の天秤」(利便性を損なわない範囲で、リスクの最小化を目指す。)という考え方は、誰もが当然年頭に置いておくべきことで、#1のanmochiさんのご解説も、当然そうした背景を意識されて記入いるはずだと思います。(私の邪推かもしれませんが…。)

社会への普及と自然検証によってその有効性を認められている様々なセキュリティー対策については、そのすべてに「リスク・ヘッジ」の考え方を(大なり小なり)反映しているものだと思います。(各組織別の要件に対して、これらの技術を最適な形で複合的に組み合わせた上で、有効に機能させるという考えかたも重要でしょう。)

公人(組織)であれば、「訴訟対策(民事・刑事双方の)」を含めたリスクヘッジを考えるのは当然のことだと思います。(もし、そうでなければ単なる”ダメダメ組織”ですからね。)

もちろん、「自組織に対して不利になりそうな穴を埋めていく。」という考え方も当然必要なものだと思います。(今の時代、性善説や理想論ばかり語るのは、完全な認識不足でしょうから。)

「信用・信頼」というのは、基本的には「後からついてくるもの」であって、日々の地道な努力こそがモノを言うものだと思いますし、そのためにも、当然サービスの安全性を確保すべきだとも思います。(まっとうな組織であれば。)

既述のブログ内でも、高木氏は「「安全なサイト」というのは、サイト自体のセキュリティー的な強度云々ということではなく、”利用者自身の安全”を確保できるサイトという意味である。→そのためにも技術の正しい理解が必要である。」という主旨の説明をされています。(もちろん、一文だけを捕らえて考察するのは危険であり、氏にはイロイロな含みを込めて書かれているのでしょうが。)

SSL(PKI)の技術やその実装に関しても、「損得勘定」「リスクヘッジ」「責任」「サービス訴求」といった様々な目的を包含しているもの(またはそのように活用できるもの)という言い方もできるのではないでしょうか。

結局、何が言いたいのかというと、「このスレッドに書かれている事柄は、どの回答者のものも過不足無く全て重要であり、情報セキュリティーにかかわる以上、知っておくべき事柄であろう。」ということです。

以上、「有償の証明書の必要性」というご質問の内容(各論)から、いささか逸脱してしまった感もありますが、本補足を含め、何らかのヒントになれば嬉しく思います。


それでは。

#2のJzamraiです。

さて、他の回答(書き込み)を受けての補足回答は本サイトの主旨に反しかねないとは思いますが、あくまで「回答者や閲覧者にとっての利益」に繋がると信じる(話の本質をより良く理解していただく為の)補足説明を私の方からはさせてください。

#3のsuzuiさんのご指摘、

>>有償のサーバIDは、信頼されたいから使うというよりは、リスクを軽減させるために使うのです。

>>これは嘘ではありませんが、リスクの考慮が不足していると思います。その点はNo.2さんも明確にされていま...続きを読む

Q自己署名証明書(オレオレ証明書)の暗号化について

SSL暗号化通信の仕組み自体は,下記URLの通りとして把握しております.
(1*) http://www.twsvc.com/about_ssl
(2*) http://www.ibm.com/developerworks/jp/websphere/library/web/web_security/pdf/2_6.pdf

これを,オレオレ証明書を用いた暗号化通信で考えると,セキュリティに関する識者である高木氏は,自分の日記にて以下のように書いています.

>共通鍵暗号による暗号化通信をしています。鍵は一緒に配送します。この暗号は正常に機能しているでしょうか?
>「今の話は共通鍵暗号じゃなくて公開鍵暗号だろ」って? オーケー、では、次の比較に対してどう答えるか。

>1.共通鍵暗号による暗号化通信
>2.公開鍵暗号による暗号化通信で認証なし(認証検証時の警告を無視する使用形態)
>3.公開鍵暗号による暗号化通信で認証あり
(略)
>では、1.と 2. を比べたときはどうか。「3.ほどではないが 1.よりは 2. の方がまし」と言えるだろうか? それは誤りである。
(略)
>公開鍵暗号の公開鍵がいっしょに配送されている暗号化通信では、傍受点で、流れてきた鍵を、別途用意した自作鍵に差し替えて流してしまえば、それで暗号化されて戻ってくる暗号文を復号できる。

※詳細は,高木氏の「PKIよくある勘違い(1)「オレオレ証明書でもSSLは正常に機能する」」をご参照ください.

ここで,疑問になるのが,”傍受点で、流れてきた鍵を、別途用意した自作鍵に差し替えて流してしまえばいい”という点です.

オレオレ証明書では,ルート証明書にたどり着けないため,ブラウザはオレオレ認証局の公開鍵をもっていない.
そのため,サーバ証明書内の公開鍵を取得できない.
だから,サーバ証明書送付時にオレオレ認証局の公開鍵を送付する必要がある.
オレオレ認証局の公開鍵を用いて,サーバ証明書から公開鍵を抜き出す

もしこのとき,オレオレ認証局の公開鍵が自作鍵に置き換えられたとしても,ただ単にサーバ証明書から公開鍵を抜き出すことができず,そこで通信が終了すれば”それで暗号化されて戻ってくる暗号文を復号できる”ことも無いように思えるのですが,いかがでしょうか.
(つまり,高木氏の言う差し替えた自作鍵でサーバ証明書内の公開鍵が取得できるかどうか)

これができなければ,確かに暗号化通信(というか通信そのもの)自体は破綻していますが,高木氏の懸念しているような「重要な情報の流出」にはつながらないように思えます.

乱文になってしまいまして申し訳ありません.
もし,私自身に勘違いや解釈違い等ありましたら,ご指摘いただけると幸いです.
よろしくお願いします.

SSL暗号化通信の仕組み自体は,下記URLの通りとして把握しております.
(1*) http://www.twsvc.com/about_ssl
(2*) http://www.ibm.com/developerworks/jp/websphere/library/web/web_security/pdf/2_6.pdf

これを,オレオレ証明書を用いた暗号化通信で考えると,セキュリティに関する識者である高木氏は,自分の日記にて以下のように書いています.

>共通鍵暗号による暗号化通信をしています。鍵は一緒に配送します。この暗号は正常に機能しているでしょうか?
>「今の話は共通鍵暗号じゃなくて公開鍵...続きを読む

Aベストアンサー

いわゆる中間者攻撃の問題です。

サーバA と クライアントB が通信しようとしているときに、
中間者Xが入って、サーバA-中間者X-クライアントB となった場合、
中間者Xは、
サーバAに対してはクライアントBのフリを、
クライアントBに対してはサーバAのフリをします。
つまり、
サーバAから中間者Xが受け取ったデータは、サーバAの鍵で復号したあと、X自身の鍵で暗号化してクライアントBに送り、
クライアントBから中間者Xが受け取ったデータは、自身の鍵で復号したあと、サーバAの鍵で暗号化してクライアントBに送るのです。
そうすることで、見かけ上暗号通信できているようでありながら、Xにはすべてが筒抜けになってしまいます。

この場合、クライアントBが実際に受け取るのは、Xが作ったオレオレ証明書です。
Aがちゃんとした証明書を使っていたら、「サーバAからなぜかオレオレ証明書が送られてきた」と、中間者攻撃の可能性に気付くことができるわけですが
サーバAが最初からオレオレ証明書を使っていた場合、送られてきた証明書が、サーバAのものなのか、中間者Xのものなのか、どちらなのかを区別することはできないことになるのです。

いわゆる中間者攻撃の問題です。

サーバA と クライアントB が通信しようとしているときに、
中間者Xが入って、サーバA-中間者X-クライアントB となった場合、
中間者Xは、
サーバAに対してはクライアントBのフリを、
クライアントBに対してはサーバAのフリをします。
つまり、
サーバAから中間者Xが受け取ったデータは、サーバAの鍵で復号したあと、X自身の鍵で暗号化してクライアントBに送り、
クライアントBから中間者Xが受け取ったデータは、自身の鍵で復号したあと、サーバAの鍵で暗号化してクライ...続きを読む

Q「自作SSLサーバ証明書」を、OpenSSL + mod_sslと

「自作SSLサーバ証明書」を、OpenSSL + mod_sslと
Apache2.2で本日CentOS5.4に対して
FTPとWWWに対して作成致しましたが、

(以下のWebサイトを見ながら一通り実施致して、 
 特にエラー等はありませんでした。
  http://kajuhome.com/apache_ssl.shtml )

しかし、その後、
FileZillaを起動した際に、
証明書の「有効期限開始」と「有効期限終了」の
日付が、”以前と同じ値”のままでした。

どのようにすれば、
FileZillaの
「有効期限開始」の値が、本日の”2010/10/09”として、
「有効期限終了」の値が、来年の”2011/10/08”として、
表示されるように切り替わるのでしょうか?
(それと、どこの情報を見れば、
 正しく「自作SSLサーバ証明書」が組み込めているか?
 などを判断(確認)することが出来るのでしょうか?)

お世話になります。
宜しくお願い致します。

Aベストアンサー

”以前と同じ値”とはどういうことでしょうか?
確か、エンティティ証明書は、毎回発行するんじゃなかったでしょうか。

あと、中身を読んでいないのですが、グーグルで検索したら以下のようなページが頭に出ました。
http://www.bnote.net/kuro_box/self_ca.shtml

>正しく「自作SSLサーバ証明書」が組み込めているか?
httpsで接続してみて、エラーが出なければオッケーというのではダメなのでしょうか。
あとは、パケットをモニタリングして、SSLのハンドシェイクを確認といった手順になると思います。

QベリサインSSLの設定方法

自社サーバーにSSLを組み込んでありますが、契約期間が終了し更新をしました。更新したSSLを設定するには、LINUXの知識がないと無理でしょうか。通常はFFFTPでHPの更新作業しかやっていません。無理な場合、こういう仕事を受けてくれるところはあるのでしょうか?ご教示下さい。

Aベストアンサー

WebサーバにSSLの証明書ファイルの内容を設定することになるので、Linuxの知識はなくてもさほど困りませんが、使用しているWebサーバソフト自体の設定方法の知識は必須です。

以前は、ベリサインのWebサイトにメジャーなWebサーバソフトでの設定方法が掲示されていました。まだあるかどうか分かりませんが、もしあるようであれば、例えお使いのWebサーバがその中にないとしても参考にはなるかと思います。

QSSLの公的認証と自局認証について

SSLの公的認証と自局認証の違いについて分かりやすく説明するにはどうしたらいいでしょうか?

仕事でお客様から二つの違いについて聞かれるのですが、いまいちうまく説明ができません。
初心者でも分るような説明で教えていただけるとうれしいです。

Aベストアンサー

No.1さんの回答で全く問題はないですが・・・

 公的認証は、公的な機関が証明してくれている認証。 この証明は記録保管場所のセキュリティ等も保証してくれます。
 自局認証は、単にその発行団体が自分を信じてくれと言っているだけの認証。 一般的な意味での信頼性は一切ありません。 まぁ自局で公的認証を取るというなら別ですが…。

 余談ながら・・・個人的には、公的認証から認証されていない自局認証を用いている個人団体は、一切信用しない事にしています。 その個人団体が実際に信用できるかどうかは脇に置いて、ともかく、セキュリティに関して無責任だという事は間違いないですから。


人気Q&Aランキング

おすすめ情報