![](http://oshiete.xgoo.jp/images/v2/pc/qa/question_title.png?e8efa67)
サーバーを設置し、インターネットでクライアントの入力した情報をSSL通信で受け取ることを予定しています。
この場合、自分でサーバー認証をしているのでクライアントのブラウザに正式なサーバー証明書ではない旨の表示がされます。
クライアントが、サーバーのURLをブラウザへ入力してアクセスしてくる限り、このままでも問題がないように思いますが、実際のところはどうなのでしょうか?
クライアントは少数ですべて顔見知りです。
第三者機関にサーバー証明書を発行してもらえば良いのですが、コストがかかることですので、迷っています。
A 回答 (5件)
- 最新から表示
- 回答順に表示
No.5
- 回答日時:
サーバ設置者の視点ではなく、クライアント(=利用者)の視点で検討されることをお勧めします。
ご存知のとおり、インターネットでは、クライアントは本当に意図したサーバに接続できるという保証がありません。そのような状況でクライアントからサーバへ情報を送信してもらう場合、その通信において情報送信のリスクを負っているのはクライアントです。そして、そんなクライアントのサーバ接続の確認の手間やリスクを軽減する一手段が(クライアントによる)SSLサーバ認証だと思います。
ですので、サーバ設置者が第三者機関にサーバー証明書を発行してもらうコストを節約することは、それと引き換えにクライアント側に別の手段でサーバの接続確認を行うことのコストや情報送信リスクによる潜在コストを負担させることになります。(第三者機関のサーバー証明書を利用する場合には、第三者機関のサーバー証明書にもいろいろ種類があるかと思いますが同様の観点でサーバ証明書製品を選んだほうがいいと思います)
ご質問のケースでは、クライアントは少数ですべて顔見知りということですので、全員が、クライアントとして発生するコスト(手間)やリスクを負担してくれる見込みがあるかどうか、そして自己署名証明書を正しく扱うリテラシがあるかどうかなどを容易に想定できるのではないでしょうか。
以上により、今回のケースは、上述した「見込み」の有無によって、自己署名証明書か第三者機関のサーバー証明書かを選択されてはいかがでしょうか。
ちなみに私がサーバ設置者だったら、クライアントがフィッシング詐欺に遭うなど、万が一のことが起こっても責任を取りたくないので(万が一の場合の自分の過失割合をできるだけ少なくしたいので)、少人数であっても相手が他人の場合は、会社の経費で第三者機関のサーバー証明書を購入する方向で考えると思います。
No.4
- 回答日時:
自分で作った証明書でも、ちゃんと作ったやつをちゃんと証明書ストアにインストールすれば、警告メッセージ(ダイアログ)が表示されなくなりますよ。
クライアント証明書とパスワードによる認証ですか…難しいとこですね。ユーザ(クライアント)への教育を考えると、クライアント証明書運用コストは、低くないですからねえ。
No.3
- 回答日時:
クライアントは少数ですべて顔見知りならば、サーバ証明書もしくは認証局証明書のフィンガープリントをネット以外の安全な方法で配布する、という方法でも安全は確保できます。
この場合、少数のクライアントが、フィンガープリントによる証明書の確認方法を理解していることが必要です。これが不特定多数のクライアント、ということになると、話が変わってきますが。
ken-etsuさん、ありがとうございます。
自己認証のサーバー証明書を顔見知りのクライアントに手渡しするか、郵送(書留?)するかして、サーバー証明書をクライアントのブラウザへインスールしてもらうつもりです。
クライアントが警告メッセージに慣れてしまうのが一番問題ですので・・・。
そのついでにクライアント証明書も使用するか、SSL+BASIC認証だけで行くかは、パスワード管理の面で、迷うところです。
No.2
- 回答日時:
サーバがinternet上に常設されれば、
自己証明書を使ったSSLサーバは、言われるように、
常にman-in-the-middleアタックの危険に
さらされると思います。
攻撃者は、アタックを趣味とし、攻撃成功を快感に思う
時間とお金のある暇な人ではないでしょうか。
私のPCすら頻度は少ないものの、F/Wに進入の試みの
記録が残っております。
過去インターネットがようやくPPP接続で可能になったころ、
peopleというパソコン通信経由でのPPP接続による、
僅か30分程度のwwwへの接続ですら、
その短時間内にPCのOS(Win95)を酷く破壊された被害経験もあります。
電子証明書を信頼ある認証局から購入するか否かの判断は
通信内容の重要性を考慮したY-TETSUさんのセキュリティ
ポリシー次第と思います。
ただベリサインのような信頼された認証局の電子証明書は
高価なので、気が引けるというのはあると思います。
守るべきものが何で、盗難されたり、破壊された場合の
被害を想定して、電子証明書を購入する価値があるか
どうかを天秤にかけることだと思います。
JA3QRZさん、ありがとうございます。
今回は6ヶ月程度サーバーを公開するだけですし、個人情報等は扱いません
ので自己証明書でいく方向で傾きかけています。
No.1
- 回答日時:
自己証明による電子証明書は意図された攻撃に対する
脆弱性は良くしられており、ご存知のことと思います。
原則は自己証明による証明書はNGですが、
扱う情報の機密性の重要度に応じてセキュリティ
ポリシーを考えればよいと思います。
重要機密情報ならば、クライアント認証も必要ですが、
もし平文が途中でそのまま読まれない程度の暗号強度で
良いというならば、自己証明による電子証明書で
十分ではないでしょうか。
その仮定ならば”正式なサーバー証明書ではない旨の表示”
は無視すれば良いだけですよね。
わざわざ認証局から証明書の発行を頂くのは
重要業務の場合だけで良いと思います。
参考URL:http://mars.elcom.nitech.ac.jp/security/cert.html
JA3QRZさん、ありがとうございます。
我々の通信内容に興味をもち、man-in-the-middleアタックのようなことが
できるスキルが高い人がいない限り、あまり気にする必要がないということなのでしょうか。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- ネットワーク 社内ネットワークの1台だけ接続できないときがある 4 2023/01/25 11:58
- その他(メールソフト・メールサービス) Thunderbirdのメール送信ができません 1 2022/10/28 16:54
- サーバー 接続・ログインはできているのにメールが送信できない 2 2022/06/27 15:03
- サーバー Webサイト構築フリーランスの案件受注について 1 2022/03/27 18:16
- ネットワーク 自分のPC(ローカル環境)から,Webページにアクセスする過程についての質問です。 1 2023/03/19 23:00
- UNIX・Linux OpenSSHのサーバー設定ファイルsshd_config内のHostKey行について 4 2023/05/02 09:53
- サーバー Webページに繋がるまでの流れについての質問です。 2 2023/03/19 23:15
- Gmail gmailでSMTP サーバーの認証が通らない 3 2022/08/26 19:50
- システム URLがクリックや入力されてから、ブラウザに画面が表示されるまでの間にDNSサーバーは経由されないの 2 2022/06/24 01:15
- サーバー (童顔♀です)webサイト納品後,記事更新をこちらでする場合どうやりますか....? 3 2023/08/09 04:44
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
日付と時刻を勝手に戻らせない...
-
Symantec オフライン
-
インターネット時刻にあわせら...
-
異なるセグメントのドメインコ...
-
NTPで同期が始まらない
-
ドメイン環境でのサーバとクラ...
-
アドレスの前にwwwの他にw...
-
TeraTermのログが正しく取得出...
-
USBを刺した記録を消す方法
-
curl実行結果が404で戻ってきて...
-
p2p型とc/s型の違い
-
ファイルサーバとFTPサーバの違...
-
Webで重い処理をするとリクエス...
-
メールソフトの互換性について(...
-
SSLのページでも、引数の直接渡...
-
WinSCP 接続がタイムアウトさ...
-
ドメインコントローラー冗長化
-
Apacheのリバースプロキシ利用...
-
クリップボードを空にできませ...
-
詳細なログが出力できるルータ...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
インターネット時刻にあわせら...
-
NTPで同期が始まらない
-
ドメイン環境でのサーバとクラ...
-
日付と時刻を勝手に戻らせない...
-
IIS FTPサーバーログ中の時刻が...
-
ログに記録される時刻がずれて...
-
クロックの同期が取れずにネッ...
-
Windows 7のタスクスケジューラ...
-
lan内でのwindowsの時計あわせ
-
CentOS6の時刻がズレる理由と、...
-
Symantec オフライン
-
心理職の方に質問します
-
時間合わせについて
-
パソコンの時計が狂ってくる
-
異なるセグメントのドメインコ...
-
NFSマウント時の待ち時間につき...
-
サーバー間で時間を合わせたい
-
時計が5分遅れます。
-
xntpdでの120秒以内の時刻のず...
-
NFSに対してのQUOTAの設定
おすすめ情報