ママのスキンケアのお悩みにおすすめアイテム

自社webサーバで限られたユーザーに
自己証明でSSLを利用しています。

メンテナンスを楽にするために有効期限を
伸ばしたいと思っているのですが、
RFCなどで推奨されている(安全とされている)
有効期限などがありましたら、教えてもらいたいと
考えております。社内での統一基準としたいので
”論拠”となる情報元も教えていただけると
助かります。

よろしくお願いします。

このQ&Aに関連する最新のQ&A

A 回答 (3件)

がるです。


ちょっとあまりにも気になったので、大変に恐縮ではあるのですが。
まず、証明書の有効期限は「その暗号強度に由来する」問題なので、間違っても「ポーズ」ではないです。

暗号というのは、1種類を除いて、大量の時間があればいつかは解読できるものです。
その「解読するためにかかる時間」が暗号強度になります。
つまり「2年」という数字には、「現在使われている暗号が、この時間なら破られないだろう」という実測値にある程度基づいているわけです。
この数値を無限にしない理由は簡単で。「一定の期間が経過したら鍵を交換することで、アタック調査をいったん無効にし、それによって暗号強度的に十分な時間を稼ぐ」意味合いがあるので。
有効期限には技術的にきちんとした意味があり、ゆえに、間違ってもポーズではありません。

次に。きちんとした認証局の認証と自前の認証では、根本的に深い隔たりがあります。
これについては、専門家もちょくちょく勘違いするのですが。
http://takagi-hiromitsu.jp/diary/20050123.html
こちらをご覧ください。
認証局に認証されている証明書には、きちんとした相応の理由があります。
間違っても「イメージ的お墨付き」のためではありません。

間違ったセキュリティ認識はあまりにも危険なので、一筆。
    • good
    • 0
この回答へのお礼

ありがとうございます。

リンクはとても面白く読ませていただきました。
認証局の認証と自前の認証に関しては、リンクを読ませていただいた上で
今回のケースについては特に問題ではないと考えてまして、
質問の意図としましてはSSLの強度に関連する有効期限でした。
*質問文が不十分ですみませんでした。

もし可能でしたら2年の根拠もいただけると助かります。認証局の中には5年の証明書を発行している
ところもあるので
(その認証局に直接、私もその論拠も確認してみます)


正直、gryfinndorsのおっしゃるように
私自身、ポーズという側面もあります。

というのも、他のセキュリティ強度との
バランスを考えれば
例えば現状で、pop3 110ポートでパスワードを
平文で流していたり、OSへのユーザログイン
パスワードを定期変更の強制をしていなかったり
ということを考えると、他の強度を高めたところで・・
という本音もあります。

SSLの鍵強度や有効期限をどうのこうの言う前に、
セキュリティチェインの一番弱いところを
話題すべきであって・・・
でも利便性を求める現場(もしくはお客さん)
のニーズにもあわせる必要があり、アンバランス
なのを承知の上での対策なので実質ポーズ、
とも思っています。

ただ、それでも自分の守備範囲というか力の
及ぶ範囲なので質問させていただきました。
今回のケースは、お客さんのリクエストで
自己証明なので、こちらとしては証明書入れ替え
のコストを減らしたいというコスト的な思惑が
あるわけです。

正論でセキュリティ体制を取れる企業というの
は少ないと思いますし、多かれ少なかれコストや
利便性などのトレードオフの中で構築している
と思います。割り切って仕事する部分と、それでも
技術的な理論武装する必要もあるのかと個人的に
考えてはいます。

お礼日時:2006/08/30 23:40

好きなだけ伸ばせばいいのではと思いますよ。


有効期限はもともとCAなりサーバーの認証が外部に対して適宜監査していますよというポーズに過ぎないのです。
VERISINだろうが自前だろうがSSLの暗号アルゴリズムは同じ強度なのですから。
だから有効期限の長短と暗号の安全性は無関係と思っています。

自社サーバーにアクセスするのに第三者機関のお墨付きは必要ないでしょう。
だから別に気にしなくていいのではと思いますが。
    • good
    • 0
この回答へのお礼

ありがとうございます。

No.3さんのお礼のほうにまとめて
長文で書かせていただきました。

お礼日時:2006/08/30 23:42

がると申します。

セキュリティエンジニアやっております。
たとえそれが自社Webサーバでの限定したユーザであれ。もしそれがグローバルIPによって接続可能であれば(或いはパケットの到達ルート中にグローバルな領域があれば)、その時点で「自己証明SSL(通称:オレオレ証明書)」はNGです。
そこに、SSLが提供するべき安全性は最早ありません。

ただ。もしDMZを含む、そこから外に出ないものであるならば。通例は2年程度を有効期限としているところは多いです。
このあたりは「業者がそれくらいだから」という、かなりアバウトな基準ですね。

ただこのあたりは結局「用いてる暗号方式と現在のクラック状況」次第なので。きちんとした調査をなさるのであれば、そのあたりを調査されたほうがよろしいかと思います。
状況は、ある程度リアルタイムに変わりますので。
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。

QNTP の TCPポートは?

NTPは123/UDPでようは足りると思うのですが、
WELL KNOWN PORTとかいろいろな資料に「123/TCP」ポートが割当たってます。
ntpd,ntpdate等でNTPを使う場合、実際には123/TCPは使われているのでしょうか?

Aベストアンサー

RFC1305では「ntpには123/udpを割り当てる」となっていますが、RFC1700では「123 ntp」となっており、「123/udp」と明示されているわけではありません。
よって、「123/tcp ntp」が間違っている(または使えない)という明確な根拠にはなりません。

「現状では『123/tcp ntp』を実装するための定義が存在しない」程度に考えた方が良いと思います。

ただ、将来的にRFC2030のSNTPが(IPv6対応などの点で)主流になる可能性があるので、「123/tcp ntp」は定義されない可能性もあります。

QDirコマンドでフォルダ内ファイルの合計サイズをだすには?(コマンドプロンプトにて)

いろいろ調べましたが不明な点があり、質問します。

WindowsのDOSプロンプトでdirコマンドを打つとフォルダ・ファイルの一覧が表示されますが、その中にファイルサイズが表示されています。
このサイズを合計できるコマンドはありませんか?
DIRコマンドのオプションを調べましたがそれらしいものが見当たりません。
具体的には
C:\xxx\配下に50個程度のファイルがあります。
その50個の合計サイズを知りたいです。
xxxフォルダの親フォルダにはアクセス不可です。

ずーっと悩んでいます。よろしくお願いします。

なお、OSはWindowsNTか2000で使用予定です。

Aベストアンサー

カレントドライブ、カレントフォルダを
C:\xxx\
にした状態で、

dir /s /a-d

/sパラメータででサブディレクトリすべてを検索
/a-dパラメータでディレクトリ以外のファイル(つまり属性に関係なくすべてのファイル

これを実行すると最後にファイルの個数とファイルサイズの合計を表示します。

もし、隠し属性のファイルは合計しないのであれば、

dir /s

だけで良いと思われます。

Qサーバ証明書(オレオレ証明書)の有効期限の変更

こんばんわ。
OpenSSLのサーバ証明書(オレオレ証明書)をブラウザからの利用について調べています。
下記のサイトを参考にさせていただきました。
サーバはCentOS6.4です。OSは仮想PC上に作っています。

http://www.webtech.co.jp/blog/developer-news/1159/
http://www.aconus.com/~oyaji/www/certs_linux.htm

上記のサイトを参考に証明書を作ってブラウザーがアクセスしたところうまくいきました。
次にサーバ証明書の有効期限を20年にしようとしたところ、反映されず1年になってしまいます。
openssl.confの
default_days = 7300
default_crl_days= 730
としてもダメでした。
何か設定漏れがあると思うのですが、どこを設定すればサーバ証明書の有効期限を変更できるのでしょうか。

Aベストアンサー

CAの証明書の有効期限も20年になっていますか?
設定ファイルを修正するか -days オプションを付けていますか?
どこをどうすればいいかは提示されているサイトを参照してください。

Qpingでポートの指定

pingでIPアドレスを指定して、通信できるかどうかというのは
よく使いますが、pingでポートを指定して応答するかどうかは調べられるのでしょうか?

よろしくお願いします

Aベストアンサー

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含むICMP)ではできません。

FTPの疎通確認であれば、クライアントからサーバに対するTCP/21通信(FTP-CMD)が可能であること(サーバからクライアントへのTCP/21からの応答を含む)+サーバからクライアントに対するTCP/20通信(FTP-DATA)が可能であること(クライアントからサーバへのTCP/21からの応答を含む)が必要でしょう。

監視ソフトによるものであれば、
・クライアントからサーバへのログイン(TCP/21)
・クライアントからサーバへのlsの結果(TCP/20)
で確認すればよいでしょう。

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含む...続きを読む

Q「いずれか」と「いづれか」どっちが正しい!?

教えて下さいっ!
”どちらか”と言う意味の「いずれか」のかな表記として
「いずれか」と「いづれか」のどちらが正しいのでしょう???

私は「いずれか」だと思うんですが、辞書に「いずれか・いづ--。」と書いてあり、???になってしまいました。
どちらでもいいってことでしょうか?

Aベストアンサー

「いずれか」が正しいです.
「いづれ」は「いずれ」の歴史的かな遣いですので,昔は「いづれ」が使われていましたが,現代では「いずれ」で統一することになっていますので,「いずれ」が正しいです.

Q第一章→第一節・・・その次は?

よく目次で
第一章○○○
 第一節△△△
 第二節□□□
第二章◇◇◇~
とありますよね?その第一節をさらに分けたい場合、第一何となるのでしょうか。
ご存知の方よろしくお願いします。

Aベストアンサー

たまたま手元に「公用文作成の手引き」という冊子があります。
役所で使用する文書規定の本です。

これによると、章、節、項までは皆さんのおっしゃる通り。

さらに、「項目を細別する見出し符号は以下による。」とあります。

第一章 第二章・・・
 第一節 第二節・・・
  第一項 第二項・・・
   第1 第2
    1 2 3
     (1) (2) (3)
      ア イ ウ
       (ア) (イ) (ウ)
        A B C
         (A) (B) (C)
          a b c
          (a) (b) (c)

注1:「第1」を省略して「1」からはじめても良い。
注2:「イ」「ロ」「ハ」「ニ」は用いない。


以上のように書いてありました。
しかし、何にせよ法律で決まっているわけでもないし、通常は
自分の好みで選択して、問題ないと思います。

Q期限の切れた証明書について

SSLのサーバ証明書について、信頼されて無い証明機関によって認証されている場合
クライアント(大抵ブラウザになると思います。)は証明機関の電子署名が正当なものか
検証出来ない為、こういった運用をしているサイトは脆弱性のあるサイトであると
言えると思います。

ここで質問ですが、
信頼された証明機関によって認証されているが、有効期限が切れているサイトは
脆弱性があるサイトであると言えるのでしょうか?

有効期限が切れていようと信頼された証明機関によって認証はされている訳ですし、
ブラウザでも
・信頼されて無い証明機関によって認証されている場合
・信頼されている証明機関によって認証されているが有効期限切れの場合
は別箇のエラーが表示される為ユーザはこの二つを区別出来ます。

とあるサイトが有効期限切れのまま運用されているのですが、脆弱性が無い様なら
放置しても良いかなと思いますし、脆弱性が有る様なら担当者に連絡するべきかなと
思っています。

高木浩光さんの日記など見てみたんですが、ちょっと判断がつきませんでしたので
ご教示頂ければと思います。

SSLのサーバ証明書について、信頼されて無い証明機関によって認証されている場合
クライアント(大抵ブラウザになると思います。)は証明機関の電子署名が正当なものか
検証出来ない為、こういった運用をしているサイトは脆弱性のあるサイトであると
言えると思います。

ここで質問ですが、
信頼された証明機関によって認証されているが、有効期限が切れているサイトは
脆弱性があるサイトであると言えるのでしょうか?

有効期限が切れていようと信頼された証明機関によって認証はされている訳ですし、...続きを読む

Aベストアンサー

>信頼された証明機関によって認証されているが、有効期限が切れているサイトは
脆弱性があるサイトであると言えるのでしょうか?

現在の一般的な脆弱性の定義からすれば,「言えない」でしょうね.

>とあるサイトが有効期限切れのまま運用されているのですが、脆弱性が無い様なら
放置しても良いかなと思いますし、

「良いかな」という考えが利用者にとっても「常識」となっているかどうか,また特定の利用者のみ利用するサーバの場合,サーバアクセス前にその利用者が,サーバ管理者と十分な信頼の関係にあるのかどうか,ですよね?
その考え方がそのサイトを利用する人たちにとって,「常識」となっている,とみなしてよいのかどうか,サイトを利用する人たちが,その「事情」を熟知しているかどうか,だと思います.
その考え方ががそのサイトを利用する人たちにとって,「常識」となっている,とみなしてよいのならば「問題なし」という判断も管理者としてアリ,でしょう.

コンピュータの問題というより,「何が常識であるのか」という問題ですね.

Qレッドハットのバージョン確認方法

自分のサーバで使用しているREDHATのバージョン確認はどうすればいいのでしょうか?

more /etc/issue
とやっても英文しか出てきませんでした。

uname -all
でもカーネルのバージョンは出るのですが、REDHATのバージョンは出ませんでした。

Aベストアンサー

> more /etc/issue
> とやっても英文しか出てきませんでした。

その英文にはRedHatのバージョンは書いてなかったのですか?
書いていなかったとしたら、管理者により編集されている可能性
がありますね。

cat /etc/redhat-release

ではいかがでしょう?
やっぱり英文ですけど。

rpm -q redhat-release

でもいいかも

Qバッチファイルで昨日の日付を取得

すみません、どなたか教えて下さい。

バッチファイルの記述で、昨日の日付を取得する方法を教えて下さい。
今日の日付は下記のように取得しています。

rem 日時変数の取得
for /f "tokens=1-3 delims=/" %%a in ('echo %date:~-10%') do (set YYYYMMDD=%%a%%b%%c
)

Aベストアンサー

:: ----- prevdate.bat はじめ -----
@echo off
::今日の日付を取得
set yy=%date:~0,4%
set mm=%date:~5,2%
set dd=%date:~8,2%
echo 今日は、%yy%年%mm%月%dd%日です。

::1日前の日付を計算する
set /a dd=%dd%-1
set dd=00%dd%
set dd=%dd:~-2%
set /a ymod=%yy% %% 4
if %dd%==00 (
if %mm%==01 (set mm=12&& set dd=31&& set /a yy=%yy%-1)
if %mm%==02 (set mm=01&& set dd=31)
if %mm%==03 (set mm=02&& set dd=28&& if %ymod%==0 (set dd=29))
if %mm%==04 (set mm=03&& set dd=31)
if %mm%==05 (set mm=04&& set dd=30)
if %mm%==06 (set mm=05&& set dd=31)
if %mm%==07 (set mm=06&& set dd=30)
if %mm%==08 (set mm=07&& set dd=31)
if %mm%==09 (set mm=08&& set dd=31)
if %mm%==10 (set mm=09&& set dd=30)
if %mm%==11 (set mm=10&& set dd=31)
if %mm%==12 (set mm=11&& set dd=30)
)
echo 昨日は、%yy%年%mm%月%dd%日です。

echo.
pause
:: ----- prevdate.bat おわり -----

参考URL:http://www.atmarkit.co.jp/fwin2k/win2ktips/419batchdate/batchdate.html

:: ----- prevdate.bat はじめ -----
@echo off
::今日の日付を取得
set yy=%date:~0,4%
set mm=%date:~5,2%
set dd=%date:~8,2%
echo 今日は、%yy%年%mm%月%dd%日です。

::1日前の日付を計算する
set /a dd=%dd%-1
set dd=00%dd%
set dd=%dd:~-2%
set /a ymod=%yy% %% 4
if %dd%==00 (
if %mm%==01 (set mm=12&& set dd=31&& set /a yy=%yy%-1)
if %mm%==02 (set mm=01&& set dd=31)
if %mm%==03 (set mm=02&& set dd=28&& if %ymod%==0 (set dd=29))
if %mm%==04 (set mm=03&& set dd=31)
if...続きを読む


人気Q&Aランキング