ベーシック認証以外にSSLが必要でしょうか？

会社で拠点間の通信を行います。
（規定集と届出書を支店でもダウンロードできる様にしたいです）
サーバーの設定でベーシック認証は使え、IDとパスワードによる認証はできる様になったのですが、付け加えてSSLで暗号化する必要があるのでしょうか？
ベリサインなどの認証局だとライセンスが高すぎてしまうので躊躇してしまいます。
一般的にベーシック認証で送信されるIDなどが改ざんされたりする確立はどれくらいのものなのでしょうか？

No.4 ベストアンサー 回答者： galluda 回答日時： 2006/02/23 14:59

がると申します。

とりあえずいくつか。
まずBasic認証ですが、あれを「セキュリティの一環」として捉えるのはNGです。
Basic認証は極めて盗聴が容易く、セキュリティとは呼べない脆弱に過ぎるものです。したがって、Basic認証があるから…という発想は避けることをお勧めいたします。
わかりやすく具体的には「HTTPのやり取りの毎回でIDとパスワードがほぼ平文に近い形で常にパケット上で流れている」ものです。脆弱極まりないといえるでしょう。

次にSSLですが。通信上の暗号化手法としては優秀です。
ただ、いわゆる証明書の類ですが、間違っても絶対に「自分で作った証明書」を用いてはいけません。通称「おれおれ証明書」「なんちゃって証明書」などと呼称されますが。
最近、ネット上でもよく議論されている話で、専門家ですら間違った認識をされている方が多々いるのですが。
結論から言うと「信頼された証明局から発行された証明書を用いていないSSL通信では安全が保障されない」ものです。自分で発行した証明書をもちいてよいのは「ローカルに閉じた環境でテスト時」のみ、です。「あくまでもテストを行う目的で、テストの期間中だけ、テスト用のマシン上で」という制約になります。
詳しくはこちらをご覧ください。http://www.atmarkit.co.jp/fdotnet/technology/idn … 。

で、通常のSSL通信ですと、安い証明局からの証明書は、場合によっては「正規の証明書を用いたフィッシングサイトの登場」など種々問題があるのですが(参照：http://itpro.nikkeibp.co.jp/article/NEWS/2006021 … )。
「会社で拠点間の通信」であるなら、ドメインが事前にわかっているので、正規の証明局であれば比較的レベルの低い(ベリサイン規定でいうところのclass 1のような「実在証明を伴わない」)証明書でもあるいはよろしいかとは思います。

セキュリティは、正しい知識を基にしなければかえって脆弱性を生む危険性があります。
出来れば専門家にきちんとした報酬と共に確認を行うか、でなければせめて出来うる限りの調査をなさることを強くお勧めいたします。

この回答へのお礼

大変参考になるご意見ありがとうございました。

やはり専門家の方からみるとセキュリティの抑えるポイントが全然違いますね。

挙げて頂いたサイトなどを参考に勉強したいと思います。

お礼日時：2006/02/23 15:25

No.3 回答者： mtmonkey 回答日時： 2006/02/23 14:36

確立ではなく確率の間違いだと思いますが、一般的に確率とは母数がどのくらいなのかによって変わります。

また接続する場所がある程度セキュアな会社内だけなのか、それともインターネットカフェやモバイルなどでの接続があるのかなどによっても変わってきますよね。

証明書というのは主に不特定多数の利用者に対して、発行元が通信を保証するために第３者に発行してもらう使い方が多いのですが、あなたの場合それが必要でしょうか。

規定集と届出書が流出したところで、喜んだり得をする人がいるのでしょうか。

そういうことを踏まえて、高い証明書を買うか、それとも基本認証だけにするかを考えていただければ結構です。

なお、暗号通信そのものには証明書がどこであるかは関係がありません。その暗号を解読するにあたって証明書が「本物かどうか」だけにベリサインなどの第３者認証機関が存在するわけでして、本物であることが間違いなく理解される方法でインストールされていれば第３者に依頼する必要はありません。

この回答へのお礼

回答ありがとうございました。

たしかに規定集と届出書が流出しても、被害は少ないですね。
費用対効果を考えますと、証明書は割高になりますね。

お礼日時：2006/02/23 15:27

No.2 回答者： YAMAMAYA#2 回答日時： 2006/02/23 13:32

No.1さんに捕捉のかたちになりますが・・

ベリサインなどが高いのは、申し込みのときに登記簿謄本などを提出させて、その証明書が確かなモノであるということを、ベリサインが署名してあるからです。

が、世の中、どこの誰にでもすぐに証明書を発行します、っていうような、激安の証明書（数千円くらいだったかな？）もありますし、

自分で署名してしまう、通称「なんちゃって証明書」というのもあります。

どちらも、証明書の信用に関わる問題なだけで、ＳＳＬの暗号化という面では一切違いはありません。

この回答へのお礼

回答ありがとうございました。

証明書も玉石混合なのですね。
勉強になりました！

お礼日時：2006/02/23 15:28

No.1 回答者： inu2 回答日時： 2006/02/23 13:13

べつにベリサインなどがSSLを提供しているわけではありません、SSL暗号化を導入するだけならばタダです

ベリサイン等の業者はSSLサーバ証明書を発行しているだけにすぎませんよ

つまり、不特定多数の人がアクセスする必要のある場合に、その会社(例えばあなたの会社)が「実在している会社ですよ」と証明してくれているに過ぎません
支店や支局間ならばVPNを導入するってのも手ではありますが、SSLで間に合わせたい というのであればタダで導入できますよ

この回答へのお礼

早速の回答ありがとうございました。

証明書なしでのSSL暗号化も検討したのですが
レンタルサーバー（WebARENA Suite2）が対応してないとのことでした
ので、ベリサインなどの認証局を考えました。

お礼日時：2006/02/23 13:35