２ちゃんねる ■掲示板に戻る■ 全部 1- 最新50 [PR]萌え犬写真館も復活。[PR]

【認証局】SSLに関するスレ１枚目【ぼろ儲け】

1 ：リアル３歳児 ◆DVDR/r8S8s ：03/12/14 03:11 ID:Z1USuUcd: セキュ板でもUNIX板でも、ろくすっぽ話題にならないので立ててみますた。

自宅サーバでもSSLきちっと使いたい人は多いと思う。
ただ、自分だけで使うならともかく、公開するならCAの問題つーか
証明書取るコストが問題なんですよね。

また技術的な面でも色々情報交換しましょう。
今はhttp以外のプロトコルでもSSLを使った実装が増えてきてますし。
2 ：DNS未登録さん：03/12/14 03:22 ID:???: 2枚目はないよ
3 ：DNS未登録さん：03/12/14 03:36 ID:Z1USuUcd: （参考）

認証局関連のリンク
ttp://www.nakajima.com/takao/secuca001.html

自前認証局でSSLクライアント認証
ttp://evo.human.waseda.ac.jp/~shigeki/linux/ca.html

自分の認証局を立ち上げるときの参考になるページ
ttp://www.nakajima.com/takao/howtoca.html

ＳＳＬによる暗号化通信および認証に関する研究
ttp://www.nagano-it.go.jp/jyouhou/report/2000/0014.pdf
4 ：リアル３歳児 ◆DVDR/r8S8s ：03/12/14 03:40 ID:Z1USuUcd: あ、>>3は私です。

>>2
おそらく・・・そうでしょうね。
この板ってセキュリティスレも閑散としてますし。
5 ：DNS未登録さん：03/12/14 03:48 ID:f9Rff7LY: はやくねろ
6 ：DNS未登録さん：03/12/14 04:01 ID:???: http://www.comodogroup.com/
OCMODOの代理店とかやってる業者有るけど
こういうのはどうなの？
7 ：DNS未登録さん：03/12/14 04:06 ID:???: じゃあ２ちゃんねるCA　とか作ろうぜ(笑)
8 ：DNS未登録さん：03/12/14 12:05 ID:???: SSLが必要なだけなら、自分で立てて終わり。
SSL＋上位CAの認証が必要なら、金出すか諦める。

そんでも何とかしたいなら >>7 になるんだろうけど。
9 ：リアル３歳児 ◆DVDR/r8S8s ：03/12/14 13:05 ID:Z1USuUcd: 実際、証明書買うとなったら、ナン百万も出してられないので
どっかのリセラーで買うことになると思いますが、色々見てみると
けっこう安いところもあるようです。

しかし案の定つーか、CAが聞いたことがないような所だったりして
IEやNNにデフォルトではルート証明書が入ってないから、利用者側に
一度インストールさせる手間がかかるようです。

そんなのだったら、自前で認証局サーバ立てちまうのもいいかも、
とか思う今日この頃なのです。

２ちゃんねるCA作るにしても、誰かが一手に引き受けないといけないのが難点かな。
某DNS互助会みたいに相互で認証し合うのは仕組み上煩わしいから。
10 ：DNS未登録さん：03/12/14 14:31 ID:???: >>9
>IEやNNにデフォルトではルート証明書が入ってない

そんなCAに金払うバカがいるのか？
11 ：7,10：03/12/14 14:54 ID:???: なんとなく、>>9を見て、>>1は自分で安い認証局を探すのが嫌だから人に聞いて済ませようと
思っただけなんじゃないかという気がしてきた。

本当に自分で色々調べたなら、「何百万」もかからないと言うことを知っているはずだから。
以下に割と有名な日本語で申しこめるところを列挙しとくが、高いと評判のベリサインジャパンですら
年額8万くらいだぞ。

ベリサイン　85050円
http://www.verisign.co.jp/server/products/

セコムトラストネット　65,000円
http://www.secomtrust.net/service/ninsyo/forweb.html

日本認証サービス 58,000円
http://www.jcsinc.co.jp/service/server.html

ジオトラスト　34,800円
http://www.geotrust.co.jp/quickssl_premium/index.html

SecureStage（ジオトラストの代理店ぽい）　18000円
http://jp.securestage.com/
12 ：DNS未登録さん：03/12/14 15:18 ID:???: >>1
> セキュ板でもUNIX板でも、ろくすっぽ話題にならないので立ててみますた。
話題にならない理由を考えれば、こんな所に使えないスレは出来ないわけだがどうよ？
13 ：DNS未登録さん：03/12/14 15:29 ID:???: タダの CA もあったりする。
http://freeca.digion.com/

ちゃんとしたところかどうかは知らない。
14 ：DNS未登録さん：03/12/15 13:20 ID:???: >>13
> 今後、半年から1年程度の試験運用の後、
> より機能を高めた電子認証局の運用を有償とすることで、
> インターネット上のセキュリティをビジネスとして取り組んでいく考えです。
ってプレスリリースに書いてありますた。
15 ：DNS未登録さん：03/12/26 06:55 ID:???: >>6
うちはC○MODOで2年/$114というのを自宅鯖(DDNS&個人名)にしてみた
自己満足にしか使っていない(IE/NNとかならデフォでrootにはいってる)

1ヶ月無料トライアルが使える(この間に設定方法をいろいろ試して、出来ると踏んでから2年購入)

やり方が悪かったのかもしれんが1ヶ月トライアルは日本の代理店は絡んでないようで
全部英語のページに飛ばされた。・・・やりとりも英語で良く解らなかった。

個人だったので証明書としてパスポートと運転免許証の写しをメールで送ったが3ヶ月くらい
音沙汰なしで忘れた頃に認証しましたのメールがきた。

やるならがんばれ
16 ：DNS未登録さん：03/12/29 13:39 ID:???: このスレ終了。
すでに>>7
でいってるとおり。
サービス範囲が決まってて知り合いばっかりだったら別に自鯖にCA仕込んで
CA証明書クライアントに配って終わり。
上位CAと信頼関係確立したいんなら素直に金払えよこの貧乏人が。
17 ：DNS未登録さん：03/12/29 15:00 ID:AKp7DuQ6: >>16
勝手に終わりにしないでくれ。
せっかく>>15みたいに良い情報出てきたばかりなのに。
18 ：名無しさん＠お腹いっぱい。：03/12/30 16:01 ID:???: くだらん。藻前らヴァカばっか。
by よしかわ与太郎風
19 ：DNS未登録さん：03/12/30 16:13 ID:???: 馬鹿ばっか
by ルリルリ風
20 ：DNS未登録さん：03/12/30 17:07 ID:???: このスレに↓が潜伏してる？
http://pc2.2ch.net/test/read.cgi/hosting/1018148651/
21 ：DNS未登録さん：03/12/30 17:16 ID:???: 最近矢印を使う奴増えたな。
大抵言いたい事も良く伝えられない厨房なんだけどな。
22 ：↑：03/12/30 18:02 ID:???: ↑↑↑
23 ：DNS未登録さん：04/01/05 17:59 ID:K+BGwjsb: >>15
Thanks! これか。
http://www.instantssl.com/

国内代理店はここみたいだね。
http://www.trustlogo.co.jp/
24 ：DNS未登録さん：04/01/06 22:55 ID:???: http://www.ev1servers.net/english/index.asp

ここだと$19.95でChainedSSLの証明書が取得できる。
ただ、InstantSSL Proのように個別にLogoをもらえないんだよね。

まぁ、そこは値段との兼ね合いかな？
とりあえず警告でないだけいいや。と思って使ってます。
25 ：DNS未登録さん：04/01/08 10:01 ID:x+jSlQnq: こういった安い証明書を携帯ブラウザが受け入れるのかどうか知りたいよね。
漏れauのbrew機使っているので、自宅サーバでp2使ってます。
生のhttpにパスワード流したくないので、ssl用意したら、
携帯ブラウザが自己証明書を拒否してくれて...
26 ：DNS未登録さん：04/01/08 11:51 ID:RMqYSyCQ: 金持ち父さん貧乏父さんを読みましたか？アメリカでは日本とさほど物価が変わらないのに
広い庭にプール付の一戸建てを持っている人多いですよね？
それはアメリカ人の大半が『不労所得』を得ているからです。
日本でも既に始まっています。下の最強情報です。初心者向けなので安心です。
みんな黙っているけど、隣の人も不労所得を得ているんですよ。
お金に興味の無い方は見ないでください…驚愕の内容なので。

http://www.google.com/search?q=%E6%9C%80%E5%BC%B7+%E3%83%90%E3%83%96%E3%83%AB&ie=UTF-8&oe=UTF-8&hl=ja&lr=
27 ：15：04/01/08 16:40 ID:???: >>25
やってみました。
うちはauのA5402Sですが、拒否されました。
「このサイトは安全でない可能性があるため接続できません(発行者エラー)」
てなかんじです。
28 ：DNS未登録さん：04/01/09 03:17 ID:S9VUSwL6: たしかAUはベリ以外ダメだったような・・・。
29 ：DNS未登録さん：04/01/09 06:31 ID:kRPMaqeG: http://www.au.kddi.com/ezfactory/tec/spec/ssl.html
>WAP2.0搭載端末およびEZサーバには次のルート証明書が組み込まれています。
>
>・VeriSign Class 3 Primary CA
>・RSA Secure Server CA
だってさ、うーむ。
30 ：29：04/01/09 06:57 ID:???: http://slashdot.jp/comments.pl?sid=124426&cid=408831&pid=408831&startat=&threshold=-1&mode=nested&commentsort=0&op=%CA%D1%B9%B9
なんかの話だと
SECOM/EntrustでもAUは大丈夫みたいだね
31 ：DNS未登録さん：04/01/20 21:47 ID:???: あげ
32 ：DNS未登録さん：04/01/21 00:09 ID:???: ベリでOKてことは、
thawteもOKてこと？
33 ：DNS未登録さん：04/01/25 11:31 ID:CSGvseYn: COMOD〇は i-mode対応してるらしいYO。
http://www.trustlogo.co.jp/handy_phone.htm
34 ：DNS未登録さん：04/01/28 16:31 ID:???: あげ
35 ：DNS未登録さん：04/01/29 13:44 ID:667nh6Ek: 法人のサイトに使用するんだけど、
この場合、法人名義でとるのと、個人名義（担当者名義）で
取るのどちらがいいんでしょう？
法人だと書類が手間がかかりそうで。
36 ：通りすがり：04/01/29 14:22 ID:MSWkojGm: 教えて下さい。
SSL サーバー証明書って作れないですか？
37 ：DNS未登録さん：04/01/29 14:35 ID:???: >33
i-modeはどうでもいいんだよ。自己署名だって警告は出るけど受け付けるし。
Ez-webはどうなんだろね。

>35
常識で考えよう。
そのサイトは担当者の趣味か？それとも会社としてやってんのか？
38 ：37：04/01/29 14:49 ID:???: お、auのA5501Tで https://www.trustlogo.co.jp/i/ にアクセスしたら
ちゃんと警告無しでつながったYO!
ここの一番安い証明書買ってみようかな。
39 ：DNS未登録さん：04/02/02 06:36 ID:WZrEEx7M: 保守アゲ
40 ：DNS未登録さん：04/02/03 01:19 ID:MeS9YLnu: >>38

　　　　　　　巛彡彡ミミミミミ彡彡
　　　　　　巛巛巛巛巛巛巛彡彡
　　　r､r.r ､|:::::　　　　　　　　　　|　
　　r |_,|_,|_,||::::::　　　　 ⌒　　　⌒|
　　|_,|_,|_,|/⌒　　　　 -="- 　(-="　　　　
　　|_,|_,|_人そ(^i　　　 '"" ) ･･)""ヽ　　
　　|　)　　ヽﾉ　|.　　┃｀ー-ﾆ-ｲ｀┃　　　　そうでっか、そうでっか、なるほどね
　　|　　`".｀´ 　ﾉ　　 ┃　　⌒ 　┃|　　
　人　　入＿ノ´　　　┃　　　　┃ﾉ＼　
／　　＼＿／＼＼　　 ┗━━┛/ ＼＼
　　　　　／　　＼　ト ───ｲ/　　ヽヽ
　　　　 /　　　　　｀　─┬─ イ　　　　 i i
　　　　/　　　　　　　　　 | 　　　　　Y　　| |
　　　 / 　　　　　　　　　 | 　　　　　ヽ＿_|_|

　　　　　　　巛彡彡ミミミミミ彡彡
　　　　　　巛巛巛巛巛巛巛彡彡
　　　r､r.r ､|:::::　　　　　　　　　　|
　　r |_,|_,|_,||::::::　　　　／'　　'＼ |
　　|_,|_,|_,|/⌒　　　　 (・ )　　(・ )|
　　|_,|_,|_人そ(^i　　　　⌒ ) ･･)'⌒ヽ
　　|　)　　ヽﾉ　|.　　　┏━━━┓|
　　|　　`".｀´ 　ﾉ　　 ┃　ノ￣i　┃|
　人　　入＿ノ´　　　┃ヽﾆﾆノ┃ﾉ＼　　　・・・・で？ロリポップがサービス悪いとでもいいたいの？
／　　＼＿／＼＼　　 ┗━━┛/|＼＼
　　　　　／　　＼　ト ───ｲ/　　ヽヽ
　　　　 /　　　　　｀　─┬─ イ　　　　 i i
　　　　/　　　　　　　　　 | 　　　　　Y　　|
41 ：DNS未登録さん：04/02/03 04:37 ID:iFvVIIIV: >>36
opensslで作れ
http://www.openssl.org/
42 ：DNS未登録さん：04/02/06 02:41 ID:axiZN64u: 質問age

www.hoge.comという形でSSLを使いたいんですが、
申し込みをしようとしているCAではサブドメインについては別登録ということになっていました。
（mail.hoge.comとdb.hoge.comでは二件買いなさいってことだと思います）

wwwはサブドメインとして考えて「www.hoge.com」で登録すればいいんでしょうか？
それともwwwはサブドメインではなく「hoge.com」でしょうか？

エロい人教えてください。
43 ：DNS未登録さん：04/02/06 03:51 ID:Jl+oApmv: ＞206
www.hoge.comとしてweb公開していたり、通常のアクセスをかんがえているなら、
www.hoge.comで取る。
ちなみに、負荷分散しているとき（webが複数台）もその台数分必要といわれた
＜SSL販売会社に

hoge.comへhttpsでアクセスすると、警告画面でるよ。
前さがしていたときは、海外で、xxx.hoge.com(xxxはなんでも）とド
メイン単位の割安販売しているところもあった。
漏れは、それでも、1つ分よりは高いから、wwwだけでとったけど。
44 ：DNS未登録さん：04/02/06 11:02 ID:???: >>42
あたりまえ。FQDNじゃないと何の証明にもならない。
たとえば、「.jp」とか「.com」とかの証明書を取得すれば全世界どこのホストも
騙れることになっちゃうだろ。
45 ：DNS未登録さん：04/02/06 11:35 ID:CQiTSgsy: >>44
そういう言い方は変だな
46 ：DNS未登録さん：04/02/06 13:00 ID:???: じゃあ普段
http://hoge.com/
へアクセスしてもらってる場合でも、
https://hoge.com/
にするのはムズイって事ですか？
47 ：DNS未登録さん：04/02/06 13:01 ID:???: ↑
ああ、なんか直リンになってしまった。
ｽﾏｿ
48 ：DNS未登録さん：04/02/06 16:26 ID:???: >>46
それはできる。
49 ：DNS未登録さん：04/02/07 00:55 ID:uvTefnfs: やはりwww.hoge.comにしないと意味がないようですね。
教えてくれてありがとうございます。

ttps://www.hoge.comを想定していたので>>46さんのとは違う状況でしたが

ということでテスト発行してもらってから、申し込みをしてみようかと。
50 ：DNS未登録さん：04/02/07 03:44 ID:???: ワイルドカード証明書 *.hoge.com を発行する会社は以前あったが、
いまはしらん。
51 ：めこ：04/03/03 05:14 ID:A5dBA4XZ: http://www.h7.dion.ne.jp/~c-c-i/
↑おれのホムペ！
中国で儲けよう！！
52 ：DNS未登録さん：04/03/13 01:45 ID:tUTgnHWW: 総警が値上げしたから、とりあえず安いとこ探したの。
トリトンってとこにしたよ、前レスでもあるやつ。
法人で申し込んだけど、サクッと設置完了。
悪くないよ。
53 ：DNS未登録さん：04/04/03 07:06 ID:vD9yk5t8: ttp://onlinessl.jp/product/starterssl.html

こんなのどうよ。
54 ：DNS未登録さん：04/04/03 20:22 ID:wG1/7ZFJ: 　　　　　　　　　（::::::::::::::）　　　　　　　　（:::::::::::::）　……スレ違い
　　　　　　　　　　）::::::::（　　　　　　　　　）:::::::（
　　　　　　　　／::::::::::::;＼　　　　　　／::::::::::::; ＼
　　　　　　　//　|:::::::::::: ｌ | 　　　　　//´|:::::::::::: ｌ |
　　　　　　　| |　.|:::::::::::: | | 　　　　　| |　|:::::::::::: | |
　　　　　　 | |　/::::::::::::/| | 　　　　 //　/::::::::::::/| |
　　　　　　Ｕ　|::::::::::/　U 　　　　Ｕ　 |::::::::::/　| |
　　　　　　　　　|::::||:::|　　| |　　　　| |　 |::::||:::|　Ｕ
　　　　　　　　　|::::||::| 　　| ∧∧／/　　|::::||::|
　　　　　　　　 | / | | 　　( ゜д゜ )/　　| /.| |
　　　　　　　　 //　| | 　　| 　　 /　　　//　 | |
　　　　　　　 //　　| | 　　|　/| |　　　// 　 | |
　　　　　　 //　　　| | 　 //　| |　　 //　　| |
　　　　　　 U　　　 U　　Ｕ　Ｕ　　 U 　　 U
55 ：：04/06/15 10:46 ID:+5y72fx9: 保守
56 ：37：04/06/15 14:16 ID:???: 最近au 5501Tが故障したので、修理に出したら5401Tが代替機できました。
そこで>38のURLにアクセスしようとしたら、証明書エラーですた....

まぁ買ってないからいいんだけどさ。
57 ：DNS未登録さん：04/08/05 12:56 ID:5SjchHnN: 質問です

ＳＳＬを導入すると認証局とやらに
多額の金を払いますよね？
そのような事をせずに、ＳＳＬを導入することは可能でしょうか？
それが「自前認証局」という奴でしょうか？
この「自前認証局」にすれば、無料でＳＳＬに対応できるのでしょうか？

どうぞ、お教えくださいませ。
58 ：DNS未登録さん：04/08/05 13:21 ID:???: 他人から見た「信頼」が特に必要ないのであれば（SSLで暗号化だけできればいいのであれば）
導入に認証局は不要。
59 ：DNS未登録さん：04/08/05 13:24 ID:???: >>57
証明機関でもインストールすれば？
60 ：DNS未登録さん：04/08/05 13:31 ID:???: 年41ドルも払えない奴がSSL入れようとするなよ。
お前が取り扱おうとしている情報はそれよりも遥かに高い。
61 ：DNS未登録さん：04/08/05 18:19 ID:???: メールアドレス1件につき1円～2円
100件100～200円で、およそ$1.5
41/1.5=27
27*100=2700

∴取り扱うメールアドレスが2700件以下の場合は、SSLを入れる方が高い。
62 ：DNS未登録さん：04/08/05 18:33 ID:???: >61
一体これは何の計算なんでせう？
63 ：DNS未登録さん：04/08/05 18:35 ID:???: >57
httpsサーバ立ち上げられれば、わかるかもしれないから、
とりあえず自分でサーバ立ち上げて見ろよ。
64 ：DNS未登録さん：04/08/05 18:43 ID:???: ハゲを禿しく励ます。
65 ：DNS未登録さん：04/08/05 18:44 ID:???: >>62
http://pc5.2ch.net/test/read.cgi/mysv/1091282027/87
66 ：DNS未登録さん：04/08/06 00:27 ID:YI/llkFw: >>60
年４１ドルで何ができるのですか？
カード使えるようになるのですか？？
67 ：DNS未登録さん：04/08/06 14:16 ID:???: >>66
てめ～で考えやがれ！
68 ：DNS未登録さん：04/09/05 22:47 ID:ORWpSuHM: >>38
37じゃないけど、買ってみた。印鑑証明に実印がいるとは驚き。
発行要求を送った後に自宅サーバの秘密鍵を消してしまった、というチョンボを
やったけど、無料で再発行してもらえた。

携帯(AU A5406CA)からもちゃんとアクセスできる。

ただし、証明書を表示させると、自宅住所がばっちり表示される。
ここは印鑑証明いるから嘘を書けないんだよね・・・。

あ、あと、エロサイトには使えません、だってさ。
エロサイトにする気もないけど。
69 ：DNS未登録さん：04/09/06 00:07 ID:???: >68
まぁ証明書は本来何処の誰かをはっきりさせる為に使う物だからね。
印鑑証明ぐらい要求されるのはやむを得ないと思う。

しかし金を扱わない自宅サーバ程度で、住所を隠せないってのはなぁ。
ドメインみたいに証明書発行業者の住所で登録できるようにしてくれれば
いいのに。補償無しでいいからさ。
70 ：DNS未登録さん：04/09/06 13:31 ID:???: >>69
ドメインと違ってPKI (Public Key Infrastructure)は階層構造的に認証を構築する
から、発行業者名義(匿名)というわけにはいかないんだ。

AはBを信頼し、BはCを信頼するというモデルだから、Cが匿名だったりすると
Bの信頼性が崩れてしまい、それに伴って共倒れでAも信頼できなくなってしまう。
セキュリティホールと同じで漏れが一つでもあるとダメというのと同じだな。

さらに日本では電子署名を公的認証として利用できるようにする法律
「電子署名および認証業務に関する法律（通称・電子署名法）」があって
法的に有効性が明示されているので、匿名で鍵を発行してしまうとそれが犯罪
行為に利用されてしまったとき、鍵を発行した業者は犯罪の共犯者に
なってしまう(直接の判例はないが私的機関が発行した匿名の証明書で
共犯が成立した事例はある)というのもある。
71 ：DNS未登録さん：04/09/08 16:21 ID:djsRaT5t: 携帯に対応していて
アダルトにも対応していて
安い認証局といったら、ズバリどこでしょうか？
72 ：DNS未登録さん：04/09/08 17:41 ID:cplWzskf: でもざっと通販サイト目を通した限り、ベリしか認証局見た事無いけど。。。
特に携帯のブラウザからの拒否を考えればそうなってしまうのか？
73 ：DNS未登録さん：04/09/22 11:29:45 ID:lNOT28it: WindowsとLinuxってキーペアファイルに互換性あります？
乗り換えようかと思っているんですが・・・
74 ：DNS未登録さん：04/09/22 11:50:49 ID:R+jk70yV: >>73
どういう形式でキーペアを受け取っているのかわからんが、apache+SSLなら
大抵の鍵形式を受け入れてくれるし、もしダメでもopensslを使って変換
することもできる。心配しなくてよし。
75 ：73：04/09/22 12:52:06 ID:???: >74
ありがとうございます！安心しました～
さっそく挑戦してみます！
76 ：DNS未登録さん：04/10/12 11:22:04 ID:???: StarterSSLを使うと印鑑証明は要らないでFA？

自宅鯖＆厨房にはキツすぎますよ。印鑑証明。
77 ：DNS未登録さん：04/10/12 12:32:03 ID:???: >>76
自己署名にすれば？
78 ：DNS未登録さん：04/10/12 12:38:44 ID:???: 今、自己認証局＆サーバー署名でやってるんですが
やっぱり警告ダイヤログがウザくて...。

一応CA証明書をWebにも貼り付けているんですが
これをインストールしてからアクセスしてくれる人が
あんまりいないｗ

いまキャンペーンで$19/年らしいので、ちょっと
検討してみようかと。
79 ：DNS未登録さん：04/10/12 16:07:52 ID:???: >>78
http://www.onlinessl.jp/content/chained_qa.html

StarterSSL / ChainedSSL Wildcardで採用されているオンライン本人確認システムとはどのようなものなのでしょうか？

FreeSSL.comのオンライン本人確認システムは、SSL申請者とドメイン管理者、もしくはSSL申請者とサーバ管理者が同一人物、もしくは同一組織であることを確認します。
申込時に予め指定したメールアカウント、もしくはWHOISに登録されているメールアドレスへ本人確認メールを送信し、メールに添付されてあるURLをクリック、リンクがなされているウェブ上でSSL申請したことを認めるボタンをクリックすれば、本人確認は完了となります。

---
となってるから、要らないんじゃないかな。

でも、これって全世界のCAに対する信頼失墜行為だよなあ。
ルート証明書経由でも信頼できないサイトが存在し得ることになってしまう。
80 ：DNS未登録さん：04/10/13 00:16:39 ID:???: >>79
何がどう信用できないのだ？

ちなみにSSLってのは商行為に信用を与えるものではないぞ。
81 ：DNS未登録さん：04/10/13 10:33:02 ID:???: >80
まぁまぁ、79はPKIに理想を求める香具師なんだろ。
個人サーバ用には79の理想は制約がきつすぎるんだよなぁ。
ぶっちゃけ、auの携帯が自己署名を受け入れてくれれば、
別に証明書なんて買う必要まったくなしなんだな。
82 ：79：04/10/13 11:02:40 ID:???: >>80
「SSL」（なり、TLSなり）は、確かに暗号化だけを担う技術だが、残念ながらHTTPSプロトコルには
サーバ認証という機能も含まれてしまっているんだよ。RFC2246とか、この辺↓とか参照のこと。
http://www.nic.ad.jp/ja/newsletter/No23/080.html
>>81の言っている「PKI」ってのはこれな。

>>81
そうだねえ。
そもそも、「暗号化」と「証明」をいっしょのプロトコルにしているのが間違ってると思うよ。
最初にNetscapeが「鍵マーク」のみじゃなくて、「暗号化マーク」と「認証マーク」の両方が表示されていれば
安全と呼べる、みたいな仕様にしておけばよかったんじゃないかと。
んで暗号化だけとかサーバ認証の片方だけ必要な人は片方だけ利用する、というかんじで。
83 ：DNS未登録さん：04/11/02 22:32:43 ID:vPyjfk5t: age
84 ：DNS未登録さん：04/11/15 21:47:39 ID:ewk1LACb: GeoTrustおよびその子会社のFreeSSL.comって、
代理店とかリセラーとか日本にうじゃうじゃあるみたいなんですけど、
しかも一部を除いてサイトの案内が直訳文章だったりして怪しいんですけど、
どういう位置関係なんでしょう？

GMOのグループ会社の「日本ジオトラスト」だけはまともっぽいんですが、
しかし日本の総代理店ということでもないみたいだし、
安価なFreeSSL.comのサービスについては現状では扱っていません。

FreeSSL.comのしっかりした代理店を望みたいところなんですが。
85 ：DNS未登録さん：04/11/16 01:12:53 ID:???: >>84
しっかりしてないから安いのだよ。

FreeSSLじゃなくて、もっと高いのを買えばいい。
86 ：DNS未登録さん：04/11/16 01:59:55 ID:f23MjBry: いやですよ、おふだに大金払うなんて。
本来暗号化だけで十分なんで。
87 ：DNS未登録さん：04/11/16 07:55:56 ID:vJ78gK5n: 暗号化だけでいいなら自己発行してろｳ"ｫｹ
88 ：DNS未登録さん：04/11/16 12:06:14 ID:???: >87
auの携帯さえなければそれで十分なんだが。
馬鹿な仕様変えろよ＞KDDI
89 ：DNS未登録さん：04/11/22 21:04:18 ID:+RSSDQu5: IEにデフォルトで入っているルートCAもしくは中間CAの中で、
サーバ証明書を無料で発行してくれる所はありますか？
90 ：DNS未登録さん：04/11/22 21:30:00 ID:sVJHEs4c: ない　βακα..._φ(ﾟ∀ﾟ )ｱﾋｬ
91 ：DNS未登録さん：04/11/22 21:35:40 ID:???: 俺、オンラインショップでベリサインの証明書使ってるが、高いね。
個人でベリサインは珍しいかな。
92 ：DNS未登録さん：04/11/22 22:08:15 ID:+RSSDQu5: やはり無料の所は無いですか。

そうですね。高いですね。
キャンペーン中で無料のはあるみたいですけどね。
確か1ヶ月でしたかね。
せめて半年ぐらいあるといいんですが。
93 ：DNS未登録さん：04/11/23 04:12:27 ID:???: 証明書ごときに金も出せない
貧乏人がサーバあげて
なにをやらかすつもりですか？
94 ：DNS未登録さん：04/11/23 05:34:12 ID:???: つりですが？
95 ：DNS未登録さん：04/11/23 10:56:07 ID:???: 暗号化されるだけでいいから
自己発行してるのに
それだと警告メッセージがでてしまう

httpとhttpsって
帯に短し襷に長しってやつでしょうか？
96 ：DNS未登録さん：04/11/23 11:03:23 ID:???: 暗号化が必要なぐらいセンシティブな情報なら、当然に身元の確認も必要だろうという有難き配慮。
97 ：DNS未登録さん：04/11/23 22:17:38 ID:???: >>96
マジ質問なんですけど

暗号化だけしてても
身元が確認されてないと
なにか不正などできてしまうのでしょうか？
98 ：DNS未登録さん：04/11/23 22:41:03 ID:???: ある種の細工で、DNS応答には嘘の情報を混ぜることができる。
amazon.co.jpのつもりで繋いだ相手が本物そっくり(てかproxy)の巧妙な偽ホストならば、
入力したクレジットカード番号は盗み見されるだろう。
99 ：DNS未登録さん：04/11/24 02:46:36 ID:???: 本当に危ない場合はクライアントSSL発行するだろ？
サーバ側キーのみで「誰でもカモン！」なんて危なさ過ぎ。
100 ：97：04/11/24 08:55:03 ID:???: >>98
なるほどー
ありがとうございました

その場合、偽サーバでも独自証明書なら
コモンネームamacon.co.jpで作れてしまうから
クライアントは本物か分からない。
べリサインなどが証明したものなら
偽装はできないから安心
っていうことですよね。
101 ：DNS未登録さん：04/11/25 23:36:17 ID:???: >>95
ですねー。
錬金術というか利権をつくり出したかったんでしょうね。Netscapeは。
まったく迷惑な話です。
102 ：DNS未登録さん：04/11/25 23:45:07 ID:???: 「おれは信頼できるぞ」と自称するものほど信じられないものはない。
誰か第三者が信頼性を保証してやる必要がある。

それをやってるだけなのになんで利権なんて言葉が出てくる？
103 ：DNS未登録さん：04/11/25 23:55:43 ID:???: みんな！俺を信じてくれ！！
104 ：DNS未登録さん：04/11/26 00:36:50 ID:???: >>102
他に暗号化ができてかつ
安価なしくみがあればいいんだけど
SSLは年間数万＋作業が必要と
とうてい手軽とは言えない。
105 ：DNS未登録さん：04/11/26 00:41:33 ID:l0mrnFKZ: 手軽に出来ないからこそ価値があるんじゃないのか？
106 ：DNS未登録さん：04/11/26 01:49:13 ID:???: http -> https
だと一気にハードルが上がりすぎなんだよな
相手は証明しないけど、暗号化はする
ってのが欲しいな
107 ：DNS未登録さん：04/11/26 04:14:09 ID:???: だから。それが独自認証局だと
何度言えばわか(ry
108 ：DNS未登録さん：04/11/26 08:04:32 ID:aDbWHMWH: とんでもないｱﾌｫがいるスレはここでつか？
109 ：DNS未登録さん：04/11/26 09:22:57 ID:???: >>107
それだとメッセージがでるだろっちゅうの

証明書インストールすればいい
っていうレスは不要

>>105
価値？ｗ
110 ：DNS未登録さん：04/11/26 09:50:30 ID:???: こんなところでゴネてないで働いて10万位払えばいいやんか。
111 ：DNS未登録さん：04/11/26 10:28:43 ID:F/7X1b6H: 暗号化と認証の分け方が中途半端だったのが問題なわけ。
認証が必要なのに独自認証局では問題だけど、
暗号化だけ必要なのに
「こいつは信用できないかもしれませんよ」
なんて関係のないことを言うなっての。

「このサイトとの通信は暗号化されています」
「このサイト（の運営主体）は○○によって認証されています」
の2通りがそれぞれ別個にきちんと実現できればいいわけ。

盗聴が難しいデジタル方式のコードレス電話を使ってたって、
オレオレ詐欺の電話はかかってくるし、
普通の相手でも言ってることが正しいかどうかは別問題じゃん。
112 ：DNS未登録さん：04/11/26 11:00:42 ID:???: なんか無知が跋扈してるなぁ。
暗号が暗号として機能するためには、
通信相手の暗号鍵を正しく検証できなければならない。

>暗号化と認証の分け方が中途半端だったのが問題なわけ。

分けて考えるのは暗号を知らないアホだけ。
113 ：DNS未登録さん：04/11/26 11:26:58 ID:???: うほっ
114 ：DNS未登録さん：04/11/26 11:31:22 ID:???: それはドメインの登録管理業務に含めばよかないか？

実際GeoTrustのQuickSSLとかStartarSSLなどのタイプは
ドメインの登録管理業務に含められるでしょう。
そうすればそのコストはもっと低くなるはず。
まぁStartarSSLはそこそこ安いっちゃぁ安いけど。
115 ：DNS未登録さん：04/11/26 13:16:13 ID:???: >101
少なくともNetscapeは証明書で儲けてない。
証明書で不労所得を一番得ているのは Verisign。
まぁRSA作った連中だから、文句も言えないが。
116 ：DNS未登録さん：04/11/26 15:48:53 ID:???: >>112
暗号鍵が検証できなければ
利用できないだけじゃないの？

今は普通に利用するフォームの情報が
簡単に盗聴できることが問題だと思う。
それが暗号化されるだけでも
だいぶ違うと思うんだけどなー

112はベリサインの人か同様のサービスをやってる人？
117 ：DNS未登録さん：04/11/26 18:29:32 ID:???: >>116
少なくとも現状よりセキュリティレベルを下げることになるのでだめだろうな。

今は「わざわざ証明書の正否を確認するなんていうめんどくさいことはしない人」も
証明書と鍵がセットの仕様によって救われているが、暗号化はされているけどサーバ証明はされていない
詐欺サイトに上記のような人が引っかかった時、「確認しなかったやつが悪い」に変わってしまうので非常に問題だ。
118 ：DNS未登録さん：04/11/26 18:31:22 ID:aDbWHMWH: とことん自分の事しか考えられない奴だな。
フォーム利用者にとっては、通信が暗号化されていても
通信相手が真正か証明できなければ何の意味もない。
119 ：DNS未登録さん：04/11/26 19:24:40 ID:???: >>118 乙
このスレでも何度かループしているけど、
どうして理解できないんだろうねえ？？
120 ：DNS未登録さん：04/11/26 19:50:16 ID:???: 暗号化されていようが証明書があろうが信用できないサイトはいっぱいあるし、
法人登記されている会社でも悪事を働いてるのはいっぱいいる。
証明書をもって詐欺ではないことなど証明はできん。
暗号化は盗聴や途中での漏洩を防ぐための手段であって、
それ以上でもそれ以下でもない。
121 ：DNS未登録さん：04/11/26 20:09:10 ID:???: 暗号の信頼性と社会的信用をごっちゃにする>>120みたいなバカがいるから
くだらない内容でこのスレがループするんだ。
122 ：DNS未登録さん：04/11/26 20:26:12 ID:???: 自分が自分のために使って他から触られたくない程度なら自発行ＳＳＬで充分。
他人を信用“させたい”のなら金払え。

でＦＡ？
123 ：DNS未登録さん：04/11/26 20:31:47 ID:???: >>122
いや、手軽に暗号化できるべき
124 ：DNS未登録さん：04/11/26 20:42:11 ID:???: 登記簿謄本があったら暗号化の何を信用させられるの？
登記簿謄本がなかったら暗号化の何が信用させられないの？
125 ：DNS未登録さん：04/11/26 20:58:59 ID:???: スレ的にはこういう議論は合っていると思う。
心行くまで議論なさって下さいと思う。
126 ：DNS未登録さん：04/11/26 21:20:18 ID:???: >>125
会話がループしてるので、議論になってないです
127 ：DNS未登録さん：04/11/26 21:45:41 ID:???: 心行くまでループなさって下さいと思う。
128 ：DNS未登録さん：04/11/26 21:59:20 ID:???: >いや、手軽に暗号化できるべき

自己証明で手軽でないというのならばやめるべきかと。

まず何よりも SSL とか PKI とかをせめて概念だけでも正確に理解すべし。
129 ：DNS未登録さん：04/11/26 22:27:37 ID:???: >>128
自己証明が手軽だと思ってんのかよ。
もっと客観的にみてくれ。
んで、SSLとPKIの概念がわかるとどうなるって言いたいんだ？

>>125
リアルで周りに嫌われてるだろ？
130 ：DNS未登録さん：04/11/26 22:43:50 ID:???: >んで、SSLとPKIの概念がわかるとどうなるって言いたいんだ？

たいへんすばらしい捨て台詞をいただきましたので一方的に終了させていただきます。
議論になってないのは承知してたけど、もう少しは話が通じるかと思ってたよ。
131 ：129：04/11/27 01:32:51 ID:???: >>130
どうなると思ってるのか
聞きたかっただけなんだけど
肝心なとこ答えないのね。
まーいーや。
132 ：DNS未登録さん：04/11/27 03:57:40 ID:???: 129は本屋でPKI関係の本を立ち読みしてみれ。
こんな数行で納得させるのは不可能だ。

例えば、独自CAの暗号化で、UAがダイヤログを
「出さない」ことがどんなに危険かわかる。
公開鍵基盤における階層構造がわからないと
通信路暗号化をしても、結局何も守られない
こともわかる。
133 ：DNS未登録さん：04/11/27 10:38:18 ID:???: いろんな次元が混じってるのをなんとかしようよ。
「お手軽（安価）に暗号化したい」というのが目的であって、
その他はみんな手段でしょ。

暗号化するにはCAを使う方式しかない（なかった）のか、
ドメインの仕組みに組み込めば安価にできたのではないか、
極めて安価なSSL証明書のサービスはどこか、
それぞれの理解度も違うでしょ。

全部きちんと理解できている人がいらっしゃるみたいだけど、
それならこれらをきちんと分けて話してよ。
134 ：DNS未登録さん：04/11/27 12:18:10 ID:???: >>132
>例えば、独自CAの暗号化で、UAがダイヤログを
>「出さない」ことがどんなに危険かわかる。

というのは、現在のSSLが”暗号化”＋”相手先の認証”という二つのプロセスが入ってるからだろ
でもそうでなくて、"暗号化"だけのが欲しいって話じゃないのか？

ここでぐだぐだ言ってても解決しないけど
135 ：DNS未登録さん：04/11/27 12:45:34 ID:???: だから、相手先を認証しない暗号は無意味なの。
それが暗号の基本なの。
136 ：DNS未登録さん：04/11/27 13:22:10 ID:???: sshやscpはどう理解すればいいの？
137 ：DNS未登録さん：04/11/27 13:46:52 ID:???: >>136
もちろん相手が真正なものかどうかちゃんと確認してる。
接続先のホスト鍵が前回接続したときと違っていればちゃんと警告されるでしょ？
138 ：DNS未登録さん：04/11/27 14:10:46 ID:???: つまりsshやscpは一般的には自己証明を使ってるってことになるの？
もしかしてSSL証明書を購入してインストールすることもできたりする？

現状のhttpsの仕組みに不満をもつ人の多くが思ってるのは、
sshやscpのようにお手軽にできないのか（できなかったのか）ということだと思うんだけど、
それは単に警告メッセージの発し方が大袈裟に見えるか見えないかが
違うだけってことなの？
139 ：DNS未登録さん：04/11/27 14:19:10 ID:???: >>138
sshだって初めて接続するときには
メッセージ表示されるだろうが。馬鹿か？
140 ：DNS未登録さん：04/11/27 14:33:15 ID:???: だからさー、それは自己証明ってことなんじゃないの？違うの？
141 ：DNS未登録さん：04/11/27 15:02:33 ID:???: ssh でも初回接続時にはホスト鍵のフィンガープリントが表示される。
このフィンガープリントが正しいものなのかどうかは、電話のような
他の手段を使って管理者に問い合わせれば真正なものか確認できる。

だが、HTTPS のような不特定多数から使われるものでは、煩雑になるので
そんな確認はしてられない。よって、信頼ある CA の鍵を事前に入手しておき、
その CA から認証された鍵は安全とみなす、という方法を取る。
# ssh も規格上は CA によって認証された鍵も使うことができるらしい。

ssh がお手軽というが、ホスト鍵の確認をしっかりやろうとすれば
それなりに面倒。逆に自己署名 SSL でも、CA の証明書をクライアントに
インストールしておけば、その CA で認証されたところへの接続は
めんどうな確認を自動化できる。
142 ：DNS未登録さん：04/11/27 15:11:40 ID:???: リアルで周りに嫌われてる厨房が必死なようです（嘲笑
143 ：DNS未登録さん：04/11/27 15:19:44 ID:???: 週末の昼下がりから2chか……
みんな友達いないんだなｗｗｗ

俺たち、友達になれそうだなｗ
144 ：DNS未登録さん：04/11/27 15:30:24 ID:???: ｷﾓｯ
145 ：DNS未登録さん：04/11/27 16:23:30 ID:???: 自演乙
146 ：DNS未登録さん：04/11/27 18:34:38 ID:???: >>141
信頼できないCAだって場合はどうなるのだろう？
147 ：DNS未登録さん：04/11/27 19:49:48 ID:???: 自演乙
148 ：DNS未登録さん：04/11/27 22:34:23 ID:???: 池沼が本すら読まずに憶測だけで騒ぐスレは
ここですか？
149 ：DNS未登録さん：04/11/27 22:41:39 ID:???: "ちゃんばば" のかほりがする。
150 ：DNS未登録さん：04/11/27 23:23:53 ID:???: "本7"のかほりはしない。
151 ：DNS未登録さん：04/11/28 00:35:05 ID:???: なるほど。ってことはその通信している相手（サイト）が信用できることがわかっている（確かめられた）なら、
自己証明であっても「暗号化」は完全なんですね。

また、114にあるような、ドメインの登録管理業務に含めるかたちで
ワイルドカードSSLがドメインの基本機能に含まれて運用されていたなら、
（別途個別のSSLも現在のように申し込めるように）
安価かつお手軽に利用できる可能性もあったわけですね。
これはちょっと残念な気がしますね。
152 ：DNS未登録さん：04/11/29 19:22:08 ID:???: ＞「暗号化」は完全なんですね。
完全は無い。
基準に達している、というくらいのもの。
153 ：DNS未登録さん：04/11/29 22:24:42 ID:???: 完全なものなど....
154 ：DNS未登録さん：04/11/29 22:37:30 ID:???: 自己証明でないものと比べて、って話でしょ。
155 ：DNS未登録さん：04/11/30 10:59:45 ID:???: >>151
つまり君は「警告ダイアログが出る状態は『利用できる』という状態とみなさない」ということか？
# あうの携帯で使えない、とかいうのは携帯側の問題であってSSLの仕様の不備ではない

今でも、ルート証明書がIEなりもじらなりに入っていないサーバ鍵を安価で、あるいは無料で
発行してくれるサービスは存在するぜ？(>>13みたいなのね。ここは今やってるかどうか知らないけど)
156 ：DNS未登録さん：04/12/01 00:44:01 ID:???: 意義すらわからない房が暴れてるだけだろ。
157 ：リアル3歳児 ◆Real32qXyg ：04/12/01 23:01:47 ID:???: １ですが、このスレまだあったんですね。
158 ：DNS未登録さん：04/12/02 01:27:39 ID:???: OnlineSSLでのStarterSSLのプロモーション価格が値上がりしてますね。
159 ：DNS未登録さん：04/12/04 16:56:52 ID:???: 久しぶりにこのスレ来たら盛り上がってるなと思ったらこんなレベルの低い話題だとは。
でもある意味すげーな。同じ説明がこれだけループしてるのに
それでもわからない馬鹿がいるとは・・・・・・。
160 ：DNS未登録さん：04/12/04 22:57:43 ID:???: >159
粘着馬鹿が一人いれば、何百回だってループはするわな。
ループの脱出条件がないんだから（藁
161 ：DNS未登録さん：04/12/04 23:47:49 ID:???: わかってないやつどうしが
レスしあってるからだろ
162 ：DNS未登録さん：04/12/05 18:58:09 ID:???: 素朴な疑問なのですが
CSRつくってベリサインなどに送って
送り返されたサーバIDをサーバにインストールしますが
これを他のサーバにもインストールすることってできるのでしょうか？

Webサーバを移転するときなど
有効期限が残ってれば
新しいサーバでも使えるのでしょうか？
163 ：DNS未登録さん：04/12/05 19:24:41 ID:???: >>162
身分証明書を他人が携帯してたら身分証明にならんだろ。
164 ：DNS未登録さん：04/12/05 19:26:17 ID:???: あ、そ
165 ：DNS未登録さん：04/12/05 21:11:10 ID:cEgTT3CP: 素人便乗質問で申し訳ないのですが、
FQDN名が全く同じでも移転利用出来ないのでしょうか？
サーバ構成見ているわけでもなく、ましてやIPアドレスでもないですよね？
166 ：DNS未登録さん：04/12/05 22:18:36 ID:???: >165
それは他人が持っていたFQDN(domainごとか？)と証明書を譲り受ける事が
できるか？ってことかな？

FQDNやdomainは譲渡可能(一部不可：属性jpなど)だが、証明書は譲渡不
可能なはず。正確なところは契約書を確認してみたら。法人が取得した
証明書なら、法人ごと譲渡を受ければ可能かもしれんが。
＃そもそも証明書が何を証明しているかを理解すれば、自明な事なんだが。
167 ：DNS未登録さん：04/12/05 23:21:36 ID:???: 単にレンタルサーバの引越しじゃないか?
このへん参考に。
ttp://www.verisign.co.jp/server/help/faq/indext.html#f003
168 ：DNS未登録さん：04/12/06 08:29:01 ID:???: >>167
> キーペアファイルの互換性のあるウェブサーバへの変更であること

という制限があるんですね。
調べてみます。

ということは証明書には
CSRを作成したサーバのキーとかはとくにかかれてなく
コモンネームとかの情報だけが書かれてるってことなんですね。
169 ：DNS未登録さん：04/12/06 11:26:29 ID:???: >>168
> キー***ペア***ファイルの
170 ：166：04/12/06 11:29:36 ID:???: >167
その可能性については気がつかなかったよ。Thanks.
171 ：165：04/12/06 12:50:54 ID:???: >>166-170
情報ありがとうございます。
帰ってからいろいろ読んでいじってみます。
172 ：DNS未登録さん：04/12/07 12:00:37 ID:mWZnkEYt: 安い携帯用CA探してるヤシに朗報だが、au&tu-kaの場合は、
https://.../で繋ぐと、端末が持っているルート証明書のみ利用可能となるが、
proxys://...:443/で繋ぐと、文字コード調整用？のサーバを中継するので、
利用できるCAが増えたりする。
173 ：DNS未登録さん：04/12/07 13:11:24 ID:???: >>171
自宅サーバーでFreeBSD+apache+mod_ssl構成ではそのままapacheのconf関連を
コピッたらssl認証もOKだったよ
174 ：DNS未登録さん：04/12/08 16:05:30 ID:UCbz2kFH: ジオトラストとかベリサインとか、
シールを動的に生成するやつがありますよね。
あれってどういう仕組みでそのサイトを認証してるんでしょうか？
（シールを置いているサイトのURLやドメイン情報の取得）
scriptタグで適当な環境変数を処理して
画像データを返す方法というのはわかるんです。
しかしRefererヘッダはセキュリティツールで遮蔽されることが多く、
他の何らかの方法を使っていると思うのですが。
同じような仕組みを実装したいのですが、方法が分からなくて。
175 ：DNS未登録さん：04/12/08 16:15:18 ID:UCbz2kFH: 訂正です。
ベリサインはサイト名を値として渡しますので除外されますね。
ジオトラストの仕組みがなぞです。
176 ：DNS未登録さん：04/12/10 01:52:42 ID:???: 174です。
失礼しました。*.jsが覗けました。
仕組みもイメージしていたものとは少し違うものでした。
177 ：DNS未登録さん：05/01/13 00:02:09 ID:???: http://japan.cnet.com/news/ent/story/0,2000047623,20080006,00.htm
日本ジオトラスト、SSLサーバ証明書の即時発行サービスを開始

http://internet.watch.impress.co.jp/cda/news/2005/01/12/6028.html
日本ジオトラスト、SSLサーバー証明書の即時発行サービスを開始

本人確認の方法としては、
Whoisに記載されている当該ドメインのメールアドレスか、
ドメインの「admin」「webmaster」といったメールアドレスに確認のメールを送る。
これにより、証明書を申し込んだドメインの管理者であることの本人確認とする。
メールを受け取ったユーザーがメールに記載されているURLをクリックすることで本人確認は終了し、証明書が発行される。
178 ：DNS未登録さん：05/01/13 14:01:16 ID:???: >177
まぁ悪くないかもしれないが、一番肝心なau携帯がサポートされて
おらん。それとも最近の機種には入っているのかな？手元の5501T
（1年ちょっと前の機種）には Equifax Secure Certificate Authority
なんて入ってないよ。
179 ：DNS未登録さん：05/01/18 18:23:29 ID:???: 決めた。べリサインで証明書申し込んでくる。
180 ：DNS未登録さん：05/01/31 23:01:53 ID:???: ハッシュリンクってどんなもんかわかる香具師いる？
証明書を上書きで更新したらハッシュリンクも更新しないとダメ？

ググってみたんだけどよくわからなかったﾎﾟ
181 ：DNS未登録さん：2005/04/13(水) 20:16:30 ID:oubk4jca: 結局、携帯の場合は、VeriSignしかないってことかな？
できれば、Thwateとか安いところが良いんだけど....
182 ：DNS未登録さん：2005/04/13(水) 20:30:16 ID:???: ええけつしとるのぉ(*´Д`)ﾊｧﾊｧ
http://222.144.0.25/
http://222.144.0.25/~ss.jpg
http://your-7afizm5y3v/
http://your-7afizm5y3v/~ss.jpg
183 ：DNS未登録さん：2005/04/18(月) 14:51:27 ID:???: >181
A5501Tには、VeriSign, GTE Corp. Entrust.net, RSA Data Securityが入って
いる。他のは知らん。
184 ：DNS未登録さん：2005/04/22(金) 15:32:07 ID:eUAMQzzV: ttp://www.au.kddi.com/ezfactory/tec/spec/ssl.html
>日本ジオトラストのSSLサーバ証明書がauの携帯電話に対応

auはジオ対応？
185 ：DNS未登録さん：2005/04/22(金) 15:33:05 ID:eUAMQzzV: ttp://japan.cnet.com/news/sec/story/0,2000050480,20082279,00.htm

こっちだ
186 ：DNS未登録さん：2005/04/22(金) 19:41:50 ID:???: >>185
対応機種がわからんものかのう。
プレスリリースにはジオトラストのweb pageで公開すると出ているが、
今のところ見当たらない。
187 ：DNS未登録さん：2005/04/23(土) 16:11:49 ID:TlA8P60W: ここかなり安いんだけど。
tp://www.digitrust.jp/overview.html

>携帯電話
GTE Cyber Trust Rootのルート証明書が取り組まれている端末

と書いてある。

一方、ここはauも使える。見本のサイトも置いてある。
tp://www.trustlogo.co.jp/handy_phone.htm
そして、こう書いてある

>COMODOのルート証明機関には、 GTE Cyber Trust が使用されており、i-mode/Vodafoneには、GTE Cyber Trust Root 証明書が正式に組み込まれています。

GTE Cyber Trustが使用されているのは前者も同じなので、auも使えると考えていいのだろうか？iとvodaだけかな？
詳しい方教えて下さい。
188 ：15：2005/04/24(日) 06:23:55 ID:???: >>27 の携帯からW31Sに機種交換しました

COMODOで獲った自宅鯖に無事接続できるようになりました
189 ：DNS未登録さん：2005/04/28(木) 16:07:40 ID:???: >187
A5501Tの証明書を見てみたところ、以下の2件がそれらしい。
保証はしないが、行けそうだ。
digitrust.jpも見本サイト置いてくれればいいのに。
---
バージョン：
1
シリアル番号：
01A3
署名アルゴリズム：
md5WithRSAEncryption
発行者：
C=US/O=GTE Corporation/CN=GTE CyberTrust Root
発効日：
02/23/96 23:01:00
有効期限：
02/23/06 23:59:00
件名：
C=US/O=GTE Corporation/CN=GTE CyberTrust Root
---
バージョン：
1
シリアル番号：
01A5
署名アルゴリズム：
md5WithRSAEncryption
発行者：
C=US/O=GTE Corporation/OU=GTE CyberTrust Solutions,Inc./CN=GTE CyberTrust Global Root
発効日：
08/13/98 00:29:00
有効期限：
08/13/18 23:59:00
件名：
C=US/O=GTE Corporation/OU=GTE CyberTrust Solutions,Inc./CN=GTE CyberTrust Global Root
---
190 ：189：2005/04/28(木) 18:31:06 ID:???: https://www.digitrust.jp/try.html
このページをA5501Tで見たら、コネクションが無事に確立したよ。
中身はほとんど読めないけど。
このページのルート証明書を見たら、上の奴だった。
191 ：１８７：2005/04/29(金) 15:16:18 ID:WTi38i0Q: Digiのトライアルを試したところ、auA1402S2では問題なく見れたので、
ここと本契約しました。
ただ、MacのIEでhttpsのページは見れるが、鍵マークが出ないという現象が起きました。
おそらく暗号化されていません。safariは問題なく鍵マークでます。
192 ：189：2005/04/29(金) 17:59:59 ID:???: >>91
>>90のURLをMac(OSX v10.3.9)用のIE5.2.3 (5815.1)で見た所、
ちゃんと鍵マーク見えてるけど。
193 ：189：2005/04/29(金) 18:01:18 ID:???: うわ、間違えた。

>>191
>>190のURLをMac(OSX v10.3.9)用のIE5.2.3 (5815.1)で見た所、
ちゃんと鍵マーク見えてるけど。
194 ：DNS未登録さん：2005/05/01(日) 20:47:12 ID:GacC6ZkD: ちょっとスレ違いなんですが
SSHで外部から操作しようとしているんですがsshd_configのPortのところの番号変えても
待ちうけ２２番のままなんですよ。
どうしたらいいの？
195 ：194：2005/05/01(日) 21:15:38 ID:GacC6ZkD: スレよごしてごめん。
解決できました。
196 ：DNS未登録さん：2005/05/06(金) 10:47:49 ID:5W6GzPR+: みんな、cacert.orgつかってないの？
197 ：DNS未登録さん：2005/05/06(金) 11:01:08 ID:???: 使うと何かいいことがあるのかい
198 ：DNS未登録さん：2005/05/09(月) 12:43:17 ID:RBQJ0P+p: 知り合いのhpのURLにhttps:って出てるけど、一番下の窓枠に黄色い錠前のマークが
出て来ないんでCA確認できないんだけど。。。これって何故？
199 ：DNS未登録さん：2005/05/09(月) 12:46:48 ID:???: >198
CAに認証を受けてない(多分)自己署名だからだろ。
200 ：DNS未登録さん：2005/05/09(月) 14:37:20 ID:9mEPK9dC: >>199
あー　なるほど自己証明か。。。
でも、あれって警告ウィンドウでてきて信頼できない機関とかなんとか
でてきませんでしたっけ。。。。
201 ：DNS未登録さん：2005/05/09(月) 14:49:37 ID:MQKciCpL: http://dhcp3037.orihime.ne.jp/
っｗｗｗｗｗｗｗｗｗｗｗｗうぇｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ
うはっｗｗｗっｗうぇｗｗｗｗｗｗｗｗｗ

うぇｗｗｗｗｗｗうはっｗｗｗｗｗｗｗｗｗｗｗｗ
202 ：DNS未登録さん：2005/05/09(月) 14:52:03 ID:???: 自己署名はカギが壊れた絵にならなかったか
出てないのはウィンドウが小さいとかフレームつかってるとか
203 ：DNS未登録さん：2005/05/09(月) 16:19:22 ID:EB9zeZD2: http://acykhm035074.adsl.ppp.infoweb.ne.jp/
ｗｗｗｗｗｗおｋｗｗｗおｋｗｗｗっｗうはっｗｗｗｗｗｗ
ｗ
うぇｗｗｗおｋｗｗｗうはっｗｗｗおｋｗｗｗ
ｗｗｗｗｗｗｗｗｗｗｗｗうぇｗｗｗうはっｗｗｗ
204 ：DNS未登録さん：2005/05/09(月) 17:41:22 ID:sWgRlrak: http://ntchba046149.chba.nt.ftth.ppp.infoweb.ne.jp/
っっおｋｗｗｗっうぇうぇｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ
ｗっｗうぇｗｗｗっっうぇｗｗｗうはっｗｗｗ

おｋｗｗｗうはっｗｗｗ
っｗｗｗｗｗｗｗｗｗｗｗｗ
205 ：DNS未登録さん：2005/05/30(月) 12:55:14 ID:SmwLTCyg: ベリサインのSSL使ってて
今までそのSSLを使いたいがためにテスト環境は、
http://www.hoge.com/test/てな風にしてたんだけど
今回、http://test.hoge.com/にしてみました。
が、他のページに飛ばされちゃいます。
いくつかのドメインが同居だからだとは思うんだけど…

テスト環境なので、警告が出るSSLでいいんだけど、
この場合、httpd.confの設定はどうしたらいいんだろう？？

こんな質問は板違い？
206 ：205：2005/05/30(月) 13:02:03 ID:SmwLTCyg: ＞205
＞が、他のページに飛ばされちゃいます。

あ、httpsにした時だけです。
http://サブドメインの時は、ちゃんと希望のページが表示されてます。
207 ：205：2005/05/30(月) 14:40:59 ID:???: 解決したのでとりあえず報告。
NameVirtualHostにサブドメのIPアドレス:ポート番号を書いたらOKでした。
ﾉｼ
208 ：DNS未登録さん：2005/05/30(月) 14:42:20 ID:???: >>205
環境は？
httpd.confって言ってるからapacheでいいのかな？
apache2なら、ssl.confの中にvirtualhost定義すればいいよ
209 ：DNS未登録さん：2005/05/30(月) 14:43:12 ID:???: ち、おそかったか
210 ：205：2005/05/30(月) 17:34:56 ID:???: >>208
>>209
ありが㌧
211 ：DNS未登録さん：2005/06/03(金) 11:19:54 ID:UmARZDPB: 最近よく広告を見るGeoTrustってどう？
ただ広告にURLがのってないんだけど
http://www.freessl.jp/
ここなの？
212 ：DNS未登録さん：2005/06/03(金) 13:42:21 ID:???: >>211
暗号化目的だけならば悪くはないんじゃないかな。微妙ではあるが。
213 ：DNS未登録さん：2005/06/03(金) 17:06:57 ID:???: >>211
これってfreessl.com
の日本語版だよね？

トライアルSSLっていう無料のを試してみたんだけど
申請が完了してから証明書が発行されない。
電話がかかってくるみたいなんだけどそれもない
すぐに発行されるって書いてあるのに・・・

サイトもよく見ると90日だったり30日だったり
よくわからなくなってきたよ

だれか試した人いる？
214 ：213：2005/06/03(金) 17:10:36 ID:???: >>211
あと雑誌とかで32400円ででてるのは
http://www.geotrust.co.jp/
ここだと思うよ
ただ32400円ってのは5年契約の場合で
単年だともうちょっと高い。

freessl.jpとの違いは不明
確かにサービスは似てるから母体は同じっぽいけども
事情通の方、詳細たのむ
215 ：213：2005/06/03(金) 19:00:22 ID:???: >>214
サーバ証明書きたー
電話もなし

さっそくインストールしてみたけど
ブラウザの警告でるね

ルート証明書
数分で発行
96%+ ブラウザ認識率

どういうこと？
216 ：189：2005/06/03(金) 19:07:40 ID:???: https://www.freessl.jp/（お試しURL）をアクセスすればわかるけど、
freessl.jpはEquifax Secure Inc.によって認証されている。
ちなみにau 5501Tはルート署名書がないため、このページへの接続を拒否する。
携帯で使えないんじゃ、自己署名で十分だよ。
217 ：189：2005/06/03(金) 19:11:46 ID:???: GeoTrustも以下のページを見ると、Equifax Secure Inc.の
ルート証明書のようだね。
http://www.geotrust.co.jp/ssl_products/q_ssl_intra/index.html#05
218 ：DNS未登録さん：2005/06/03(金) 20:02:54 ID:???: >>216
そのページって
トライアルSSLだけでなく
他のどのサービスでもそのページがサンプルとしてのってるよね。
トライアルSSLは別物な予感。
219 ：213：2005/06/04(土) 10:32:01 ID:???: >>216
ん？
なんか設定間違えてるのかな？
そのページは警告でない

設定した証明書の発行者は ipsCA～～
ってなってる
220 ：189：2005/06/06(月) 18:39:29 ID:???: >>219
携帯の何処を設定しろと言うんだ？
わからないならこのスレ最初から嫁。
221 ：DNS未登録さん：2005/07/04(月) 00:23:27 ID:???: >>214
freessl.jpは米RapidSSL.comの日本代理店で、
そのRapidSSL.comは米GeoTrustの子会社だったかな？
つまりRapidはGeoの格安証明書を扱う事業部みたいな感じ。

日本ジオトラストは米GeoTrustの正規販売代理店なんだけど
米本社直のリセラー経由の方が、かなり安く発行できる。
freessl.jpも同様で直のリセラー経由が安いね。
222 ：DNS未登録さん：2005/07/21(木) 19:53:25 ID:HywhBdoD: 自己署名だけど何が悪いの？
223 ：DNS未登録さん：2005/07/21(木) 21:12:15 ID:???: 単にSSLを確立したいだけならプライベートCAでいいね。
証明書をとって運用したいのは商用サイトでもやっているの
だろう。でも格安CAじゃ程度が知れる。とれもじゃないが、
個人情報入力する気にはなれないね。
224 ：DNS未登録さん：2005/07/22(金) 08:48:47 ID:???: >>223
高ければいいの？
225 ：189：2005/07/22(金) 11:30:31 ID:???: >>222
PCだけ使っているなら何にも悪くない。
問題はau端末だけが自己署名だと接続拒否するんだよ。
auは料金体系がwebを使いやすいけど、この一点だけがどうしようも
ない欠点なんだね。
226 ：DNS未登録さん：2005/07/22(金) 11:45:55 ID:???: 携帯サイトでSSLを使う必要があるってことはほぼ100なんらかの%商売が目的だろ
そのくらいの金が出せない商売ならやめてしまえ
227 ：DNS未登録さん：2005/07/22(金) 12:10:19 ID:???: >PCだけ使っているなら何にも悪くない。

セキュリティに関することについては不用意にウソを流さないでくれ。

オレオレ証明書では本物のサーバかどうかの確認が完全にはできない。
自家製 CA が信用できるときに限り、安全に SSL 通信ができる。
信用できない場合は、通信している相手が本物かどうかの保証がなくなる。
228 ：DNS未登録さん：2005/07/22(金) 12:34:22 ID:???: >>227
糞認証業者乙
229 ：189：2005/07/22(金) 17:53:27 ID:???: >>226
ここは自宅サーバ板だ。
自宅のサーバを携帯からいじる時に、SSLで盗聴されずに作業したい事
って色々あるだろ？それができないから困っている訳。

>>227
自己署名だって、fingerprintを覚えていればかなりセキュアだ。
ましてや只の自宅鯖を騙るのにfingerprintを揃えた証明書を
作るような暇人はおらん。
230 ：DNS未登録さん：2005/07/22(金) 18:01:31 ID:???: だから、

>fingerprintを覚えていれば

そういう条件つきの安全なわけでしょ。
まともな CA から発行された証明書と同じような安全性を
担保できるかのように錯覚させる発言を不用意にするのはやめてくれ。
231 ：189：2005/07/22(金) 18:07:01 ID:???: >>230
おまいさんは自宅鯖にエンタープライズ級のセキュリティを
求めているんかね。

そんな事言うなら、普通のweb browserが証明書の内容を表示
せずにSSL繋いでしまう事の方がよっぽど問題だろうが。
232 ：DNS未登録さん：2005/07/22(金) 19:25:27 ID:???: >おまいさんは自宅鯖にエンタープライズ級のセキュリティを
>求めているんかね。

じゃあ自己署名以前に SSL はいらんわな。

>そんな事言うなら、普通のweb browserが証明書の内容を表示
>せずにSSL繋いでしまう事の方がよっぽど問題だろうが。

信頼できる証明書である、接続先は本物であると判断されたから
いちいち表示せずにつなぐんでしょ。
信頼できない証明書を使ってるサーバに警告なしに接続するブラウザってあるの？
233 ：DNS未登録さん：2005/07/22(金) 19:49:30 ID:???: 費用対効果とかユーザーの要求する利便性とか、そういうのを一切無視するコンサルを見ている気がする。
234 ：189：2005/07/22(金) 23:57:55 ID:???: >>233
禿堂。本質が何もわかってない。

>>232
> 信頼できる証明書である、接続先は本物であると判断されたから
> いちいち表示せずにつなぐんでしょ。

その信頼できる証明書って誰が証明してくれる訳？
証明書発行機関同士て確認し合っている訳ではないから、
あるURLのホスト部を証明する証明書がダブって発行され
ても何の不思議も無いわな。全く同じでなくても、フィッ
シング詐欺のようによく似たドメイン名を使うとか、URL
表示を書き換えてしまうとか、いろいろ騙す手法はある訳。
ましてや最近は電子メールだけで発行してくれる業者も
現れているから、なりすましも現実的になってきたわな。

ここ２～３ヶ月の情報処理学会誌に詳しく説明されてるから、
勉強しなおしてきな。>>232

で、何度も言うが、ここは自宅サーバ板。自己署名を自分の
責任において自分のブラウザに覚えさせる事ができれば、自
宅への安全な通信路が確保できるわけで、いわゆるホームオ
ートメーションやホームセキュリティが安価に作れるはずな
んだよ。
腐れメーカーの糞高いシステムなんぞ入れたくない訳。
235 ：DNS未登録さん：2005/07/23(土) 00:31:46 ID:???: 自分だけが使うのであれば、自分が必要なだけのセキュリティが
確保できればいいのはそのとおり。
だがその場合でも自己証明では100%ではなく手抜きの安全であることは
知っておかなければならない。中途半端な知識を蔓延させてはならない。
236 ：DNS未登録さん：2005/07/23(土) 04:23:18 ID:???: >>235
そういう啓蒙的な事を言うのなら、100%という数字の重みについて少し考え直した方がいいと思うぞ。
237 ：189：2005/07/23(土) 13:52:14 ID:???: >>235
こいつは相当頭が腐った香具師だな。

不特定多数に使わせるシステムなら、確かに現状ではVerisign等の
ルート証明書で証明されている証明書を使うのが、一番マシではある。

しかし、自分（と家族）しか使わないシステムなら、自己署名となんら
強度は変わらない。

例えばV社のルート証明書付きのホスト証明書は、
「V社がそのホストの正当性について確認しましたよ」というだけで
しかない。証明書自体の強度は電子署名に使われているアルゴリズムと
鍵長によってきまる。自分しか使わないシステムなら、自分が設定した
証明書であることさえ確認できればいい訳で、そんなのは簡単。わざわざ
CAを使う意味はない。
238 ：DNS未登録さん：2005/07/23(土) 14:15:05 ID:???: 日本コモド、携帯端末でSSLサーバ証明書「Enterprise SSL」の適合率が98％超に
http://japan.zdnet.com/news/sec/story/0,2000052528,20085675,00.htm

　適合率が上昇した理由を、日本コモドは「最も積極的に携帯コンテンツを活用するユーザー層において、新機種への買い替えが進んだため」と分析する。
239 ：DNS未登録さん：2005/07/23(土) 19:56:47 ID:???: ところで、

>しかし、自分（と家族）しか使わないシステムなら、

という条件はどこから出てきたの？
とりあえず今回の発端の>>222はそんなこと書いてないようだけど。
240 ：DNS未登録さん：2005/07/23(土) 22:10:22 ID:???: # >>235再登場かよ。

>>239
日本語の不自由な奴だな。
「しかし、自分（と家族）しか使わないシステムなら」
はあくまで仮定を持ち出しただけの話だろ、良く読め。

ルート機関からの認証付きの証明書は、ホストとユーザの間でインターネット以外の
信頼できる通信経路を持ち得ない場合に意味があるものであって、自分自身や家族・
知人など直接会うことのできるユーザが対象であれば、直接公開鍵を渡すとか
fingerprintを教えるとかの運用で十分に信頼できる鍵伝達が実現できる。
ルート機関からの認証鍵に金というコストがかかる以上、他の無償の手段で問題から
逃げられるのであればそのほうが良いのは明らかだろ。

あと、自分自身や家族・知人の範囲を超える赤の他人にSSL鍵を使わせるという運用は
自宅鯖の範疇外。そもそも赤の他人にSSL鍵を使わせるような可用性のある運用は
できるわけない（電源やネットワークや管理や監視の問題による）し、赤の他人に
「とりあえず動かなかったらごめんね」で済む運用ならますます自己認証鍵で十分。
241 ：DNS未登録さん：2005/07/23(土) 22:36:27 ID:???: >あと、自分自身や家族・知人の範囲を超える赤の他人にSSL鍵を使わせるという運用は
>自宅鯖の範疇外。

え。そうなの。

>>1
>ただ、自分だけで使うならともかく、公開するならCAの問題つーか
242 ：DNS未登録さん：2005/07/27(水) 10:01:11 ID:???: >>233
はげはげどう

227、235　はくそ業者
243 ：DNS未登録さん：2005/07/27(水) 18:11:18 ID:???: 携帯で使おうと思うと自家署名は無理なんだよな・・・
244 ：189：2005/07/29(金) 19:45:36 ID:???: >>243
DoCoMoやVodaphoneで我慢できるなら、とりあえず使えるぞ。
証明書商売やりたいからって、ちとやりすぎ＞KDDI
245 ：DNS未登録さん：2005/07/30(土) 00:18:28 ID:???: >>244
>証明書商売やりたいからって、ちとやりすぎ＞KDDI

KDDI は証明書を売ってませんが。
246 ：DNS未登録さん：2005/07/30(土) 11:14:57 ID:???: >>245
247 ：DNS未登録さん：2005/08/12(金) 10:39:11 ID:???: >>244
× Vodaphone
○ vodafone
248 ：DNS未登録さん：2005/08/12(金) 18:26:17 ID:???: >>244
KDDIってCAになってたっけ？
249 ：名無しさん＠そうだ選挙に行こう：2005/09/10(土) 19:55:28 ID:???: http://slashdot.jp/security/05/09/06/216212.shtml?topic=51
250 ：DNS未登録さん：2005/10/08(土) 16:50:04 ID:???: VerisignやThawteなどはサーバの台数分の証明書が必要ですが、
NTTコミュニケーションズのように台数分の証明書をコピーして使用できる証明書はここ以外にありませんか？
http://72.14.203.104/search?q=cache:K5RQRFFaRC8J:private.c3md.ne.jp/ssl2.html+ssl+%E5%8F%B0%E6%95%B0%E5%88%86&hl=ja
251 ：250：2005/10/08(土) 17:00:04 ID:???: NTT.comの証明書について追記
http://www.blade-ntt.com/SecurePassport/secure/
2台以上のハードウェアを使用し冗長性のある構成をとる場合、すべて同じFQDNを持つのであれば、証明書は1枚ですみます。
ちなみに、携帯にも対応しているようです。
NTT DoCoMo SSL対応端末　全機種対応
Vodafone SSL対応端末　全機種対応
au(KDDI) WAP2.0ブラウザ搭載端末（うち、UPブラウザバージョン6.2に対応）
252 ：DNS未登録さん：2005/10/25(火) 18:56:39 ID:dU6/tihs: FTP over SSLで自署名のSSL証明書を使いたい時に
Windowsの証明書ストアの証明書の目的にFTP over SSLはどうやって追加したらよいでしょうか？
全ての目的で有効にしてもエラーが出てしまいます。
ご存知の方がおられましたら教えてください。
253 ：DNS未登録さん：2005/10/31(月) 12:42:21 ID:???: ふと思ったんですが、
SSLってどの時点からかかるんでしょうか？

ある申込フォームがあって、フォームのURLはhttpで、
そのページに書かれたformタグのactionがhttpsになってる場合、
ちゃんと送信データを保護してくれると思うんですが。

それともフォームを開く時に既にhttpsでないとダメ！？
くだらない質問ですいません。
254 ：DNS未登録さん：2005/10/31(月) 13:26:05 ID:???: >>253
httpとSSLの仕様を理解していれば解ることだろ。
申し込みフォーム自身が暗号化されていなくてもaction以下に記述された内容が
SSL enabled (https)になっていれば送信データは暗号化される。
255 ：253：2005/10/31(月) 16:38:21 ID:???: >>254

レスありがとうございます。
やっぱり暗号化されるんですね。

今までそう理解してたつもりなんですけど、
ふと疑問に思いまして…

これでスッキリしました。
256 ：DNS未登録さん：2005/11/03(木) 23:15:55 ID:???: >>254 (ﾌﾟ

>>255
アホに騙されるな。これ嫁
つ http://www.soi.wide.ad.jp/class/20040031/slides/10/49.html
257 ：DNS未登録さん：2005/11/04(金) 09:50:23 ID:???: >>256
アホはおまえだ。その URL に書いてあるのは

>申し込みフォーム自身が暗号化されていなくてもaction以下に記述された内容が
>SSL enabled (https)になっていれば送信データは暗号化される。

なっていないことがあるから気をつけろ、ということだ。
258 ：DNS未登録さん：2005/11/04(金) 12:25:13 ID:???: >>257
フォームを開く時に既にhttpsでないとダメ

ってことが書いてあるぞ。
259 ：DNS未登録さん：2005/11/04(金) 12:46:08 ID:???: >>258 は読解力がないな。
このページは
「素人さんにはform actionのとび先をソースを見て判定するなんて難しいから
　わかりやすくフォーム自体httpsにしる」
と言ってるだけだ。
260 ：DNS未登録さん：2005/11/04(金) 12:48:23 ID:???: >>258
ユーザレベルでは登録フォームそのものが暗号化されていないと送信先が暗号化される
かどうかわからんって言っているが、フォームだけが暗号化されていて送信先が暗号化
されていない場合もあるので確実に正しいとは言い切れんな。

あとフォームの改竄の可能性に言及しているが、Webサイトが改竄されているのなら
暗号化されていようがいまいが関係なく改竄されてしまうから意味ないし、
URLを偽装しているとしたら偽装ついでにhttpsに置き換えちゃえば済む話なので
同じく意味はない。
261 ：DNS未登録さん：2005/11/04(金) 17:51:29 ID:???: >>260
> Webサイトが改竄されているのなら

通信路上で改竄されたなら、って話だろ?

君ら頭悪すぎ。
262 ：DNS未登録さん：2005/11/04(金) 20:19:37 ID:???: ビデオがあるのでそこを見るとよい。こう言ってる。

＞リンク先の actoin 属性の url が https が改竄されてるかもしれない。
＞スペースhttp に差し替えれば、パケットの５バイトを書き換えるだけで、
＞それはできますから、そうとは知らずパスワードを入れて送信すると、
＞http で送信しちゃうと。改竄できるからその人は攻撃者は盗聴もできる
＞でしょうから、まんまととられてしまうということになりますから、
＞パケット改竄の可能性があると考えるのであれば、トップページといいますか、
＞ログイン画面から https にしておかないといけません。
263 ：DNS未登録さん ：2005/11/08(火) 04:49:40 ID:???: >>213

どうせ今更みてないだろうが..
Free使ってテストするならアメリカのサイトのがいいね
電話もかかってくるし、シングルルート証明書だし
だいたい、国内側でいくら発行しようとしても
こっちで作った秘密鍵と不一致のcrt送ってくるし

まぁあっちから買うと、高いんだがな..
匿名で自宅サイト用に発行するなら、いいかもしれん
264 ：DNS未登録さん ：2005/11/08(火) 10:18:21 ID:???: あぁちなみに、Air'Hだと登録されてなかったから、古い機種のAUは
Comodo同様に使用不可だろうねぇ～
まぁAUは買い換えかけて証明書新しくすれば済むような気もするが..
265 ：189：2005/11/12(土) 23:32:23 ID:???: >>263
やっぱりfreessl.jpは駄目か...
W32Hに買い替えたらEquifaxのルート証明書が入っていたので、
こりゃ行けるかもしれないと思ってトライアル申し込んだ
けど、確認メールが来てそれっきり音沙汰なし。

ちなみに登録電話番号は携帯にしておいたら、申し込みの
翌日に049-244-0???という番号からかかってきたけど、
「もしもし」と出てみたらなんか慌てたような気配で、
こりゃfreessl.jpからかなと思って"Hello"と言って
みたら切れてしまった。単なる間違い電話の可能性が高いけど...

ちなみに確認メールに書いてあった電話番号は06-で始まる
から大阪のどこかだけど、049-は埼玉県だからねぇ。偶然
かなぁ。

それにhttps://www.freessl.jp/ を認証しているEquifaxの
ルート証明書と、W32Hに入ってるEquifaxのルート証明書って
シリアル番号が違うんだよね。
前者は01, 後者は35DEF4CF。
単なるサイトの更新忘れだと思って、とりあえずトライアル
申し込んで確かめようと思ったのだけど、こりゃ駄目そうだ。
貴重な情報をありがとう>>263
266 ：DNS未登録さん：2005/11/14(月) 11:52:21 ID:???: >>265
その間違え電話、おれかも・・・
267 ：189：2005/11/14(月) 12:22:55 ID:???: >213が教えてくれた http://www.freessl.com/ だけど、今開くと
redirectされて http://www.rapidssl.com/index_ssl.htm に誘導
されるね。右上の方にComodoとthawteユーザにタダで証明書発行
するような事書いてあるから、rapidssl.comが買収したんだろうね。
Internationalの中にはfreessl.jpどころか日本のリセーラーが
まったくないので、freessl.jpは開店休業状態と思われ。
268 ：189：2005/11/14(月) 12:59:58 ID:???: https://www.rapidssl.com/test/rapidssl.htmに au W32Hで接続してみた
けど、残念ながら証明書エラーになった。root証明書はEquifaxなんだけど、
シリアル番号が04なんだよね。どうやらW32Hに入っているEquifaxの証明書
はau専用なのかも。
269 ：263：2005/11/16(水) 19:15:18 ID:???: >>268

そこでテストSSLもらったけど証明書のrootがちがったねぇ
CN = UTN-USERFirst-Network Applications
OU = http://www.usertrust.com
O = The USERTRUST Network
L = Salt Lake City
S = UT
C = US

ここのroot証明書を使ったやつだった
製品によってroot変わるのかな？
270 ：189：2005/11/17(木) 19:52:18 ID:???: >>289
報告感謝。
でも、そんなroot CAはW32Hにはない....

W32H内蔵のroot証明書は以下の通り：
1. Baltimore
ver: 3
serial: 02000B9
signed by: sha1WithRSAEncryption
Publisher/Subject:
　C=IE
　O=Baltimore
　OU=CyberTrust
　CN=Baltimore CyberTrust Root
published: 05/12/00 18:46:00
exprire: 05/12/25 23:59:00

2. VeriSign, Inc.
ver: 3
serial: 7DD9FE07CFAA81EB7107967FBA78934C6
signed by: sha1WithRSAEncryption
Publisher/Subject:
　C=US
　O=VeriSign, Inc.
　OU=Class 3 Public Primary Certification Authority -G2
　OU=(c)1998 VeriSign, Inc. - For authorizwd use only
　OU=VeriSign Trust Network
published: 05/18/98 00:00:00
exprire: 08/01/28 23:59:59

3. GTE Corporation
ver: 1
serial: 01A3
signed by: md5WithRSAEncryption
Publisher/Subject:
　C=US
　O=GTE Corporation
　CN=GTE CyberTrust Root
published: 02/23/96 23:01:00
expire: 02/23/06 23:59:00
271 ：189：2005/11/17(木) 19:55:20 ID:???: 4. GeoTrust Inc.
ver: 3
serial: 023456
signed by: sha1WithRSAEncryption
Publisher/Subject:
　C=US
　O=GeoTrust Inc.
　CN=GeoTrust Global CA
published: 05/21/02 04:00:00
expire: 05/22/22 04:00:00

5. Equifax
ver: 3
serial: 35DEF4CF
signed by: sha1WithRSAEncryption
Publisher/Subject:
　C=US
　O=Equifax
　OU=Equifax Secure Certificate Authority
published: 08/22/98 16:41:51
expire: 08/22/18 16:41:51

6. GTE Corporation
ver: 1
serial: 01A5
signed by: md5WithRSAEncryption
Publisher/Subject:
　C=US
　O=GTE Corporation
　OU=GTE CyberTrust Solutions, Inc.
　CN=GTE CyberTrust Global Root
published: 08/13/98 00:29:00
expire: 08/13/18 23:59:00
272 ：189：2005/11/17(木) 19:58:31 ID:???: 7. Entrust.net
ver: 3
serial: 374AD243
signed by: sha1WithRSAEncryption
Publisher/Subject:
　C=US
　O=Entrust.net
　OU=www.entrust.net/CPS incorp. by ref. (limitsliab.)
　OU=(c) 1999 Entrust.net Limited
　CN=Entrust.net Secure Server Certification Authority
published: 05/25/99 16:09:40
expire: 05/25/19 16:39:40

8. RSA Data Security, Inc.
ver: 1
serial: 02AD667E4E45FE5E576F3C98195EDDC0
signed by: md2WithRSAEncryption
Publisher/Subject:
　C=US
　O=RSA Data Security, Inc.
　OU=Secure Server Certification Authority
published: 11/09/94 00:00:00
expire: 01/07/10 23:59:59

9. VeriSign, Inc.
ver: 1
serial: 70BAE41D10D92934B638CA7B03CCBABF
signed by: md2WithRSAEncryption
Publisher/Subject:
　C=US
　O=VeriSign, Inc.
　OU=Class 3 Public Primary Certification Authority
published: 01/29/96 00:00:00
exprire: 08/01/28 23:59:59

10. KDDI CORPORATION
ver: 3
serial: 1625BC405FFDA563888B38FB9C867E842
signed by: sha1WithRSAEncryption
Publisher/Subject:
　C=JP
　O=KDDI CORPORATION
　OU=KDDI SECURE NETWORK
CN=KDDI SECURE NETWORK ROOT CA
published: 06/06/05 00:00:00
exprire: 06/05/25 23:59:59
273 ：189：2005/11/17(木) 20:01:37 ID:???: 携帯の画面を見ながら入力したので間違い等あると
思うけど、そのへんは無保証と言う事でよろしく。
274 ：DNS未登録さん：2005/12/11(日) 18:55:10 ID:???: いまざっとスレ呼んだんだが、auって
独自認証局のサーバ証明書うけつけねーの！？
ボダ使ってて普通に行けたから
行けるもんだと思ってた・・・orz
275 ：263：2005/12/15(木) 15:09:19 ID:???: 期限切れ前に延長すれば、新規でなくて延長扱いになるってメールきてたので
そのまま購入したら、また認証会社かわってた(^^;
テストにならんから、一緒のだしてくれー(苦笑
ちなみにこれ..

CN = Equifax Secure Global eBusiness CA-1
O = Equifax Secure Inc.
C = US
ver =3

EquifaxではなくEquifax Secureでくくりつけられてるので多分無理だね
FireFoxの証明書リストだと、これとは別にEquifaxの証明書も有り
そっちにはくくりつけられていないし

>>274

AUだと自己証明使えない、まぁ私は毎回OK押すのがめんどーだと言うだけのために
証明書買ったけど(w
276 ：263：2005/12/15(木) 15:26:58 ID:???: あぁ別にある証明書のシリアルがまさに>>271の証明書のシリアルと
一緒って事で、それにはくくりつけられてないってことね
まぁ所詮$34って事か(w
277 ：DNS未登録さん：2005/12/15(木) 20:06:55 ID:???: 毎回OK押すのが面倒なだけだったら、
ルート証明に独自認証局インストールしてしまえばいいんジャマイカ？

にしてもAUは何とかならないものか・・・。
278 ：189：2005/12/16(金) 02:04:38 ID:???: >>277
DoCoMoやVodafoneはルート証明書インストールできるの？
＃多分できないと思うが...
279 ：DNS未登録さん：2005/12/16(金) 11:25:13 ID:???: まぁ携帯からのアクセスは未だ「証明書の有効性を確認できません」でOK押さないとで
目的を達成してないのが現状なんだけどね
IEとかのPCブラウザからの方も、一応知り合いにも公開してるので、
そっちにroot証明書にローカル認証局の証明書いれれつぅのは
説明がめんどーだったのもある

やっぱ携帯電話は数万出さないときれいに認証してくれないのかねぇ～
携帯電話も証明書が追加可能なら楽なんだが...
まぁ次の買い換えで狙ってるのはW-ZORO3なので、さすがにこれなら
証明書をインストール出来そうだけど..
280 ：DNS未登録さん：2005/12/16(金) 19:24:37 ID:???: tomcatのCLIENT-CERT認証ができん！！
281 ：DNS未登録さん：2006/01/30(月) 18:19:46 ID:???: 質問させてください
SSLで証明？されているサイトを閲覧していると、決まって
動かなくなってしまいます。
具体的な現象としては
・『次へ』のボタン等を押しても動かない
・ページが表示されませんでした等のメッセージが出る。

OSはXP
他のHPはサクサク見れる。
ウイルス対策ソフト等のFWを切っても無駄でした。
Windowsのアップデートは最新。

何か対策等はないのでしょうか？
282 ：DNS未登録さん：2006/01/30(月) 22:13:06 ID:???: 肝心な情報が書かれていないのだが、質問初心者か？
283 ：DNS未登録さん：2006/02/01(水) 10:52:25 ID:???: 現在Vine Linuxで、バーチャルホスト機能を使って３つサイトを運営しております。
さきほどSSL機能を導入してURL httpsでアクセスしたのですが、
表示しますか？で“はい”を選択するとなぜか一番最初のサイトに飛んでしまいます。
何がまちがってるのか教えてｵｸﾚﾖﾝ(´･ω･`)
284 ：283：2006/02/01(水) 10:55:13 ID:???: 一番初めのサイトにhttpsでアクセスすると、その同じサイト内ならば
全てhttpsでアクセスされます。
他の２つのサイトもこのようにアクセスできるようにするにはどうすればよいか
教えてｵｸﾚﾖﾝ(´･ω･`)
285 ：DNS未登録さん：2006/02/01(水) 10:58:11 ID:???: 無理。
286 ：DNS未登録さん：2006/02/01(水) 11:12:56 ID:???: >>283
httpsでバーチャルホストは出来ない。
良く覚えてないけどヘッダ送る前に暗号化しちゃうから、とかなんとか、
プロトコルの問題なのでapacheでどうにか出来るモンじゃない。

いちおう、
１．バーチャルホストの場合ポートを443以外にする。
２．IPアドレスベースのバーチャルホストにする。
のどちらかがで回避できる。

つーかな、すれ違いだ。
287 ：283：2006/02/01(水) 11:22:20 ID:???: スレ違いｽﾏ○ｺ
>>286　の１．の情報しっかり教えてｵｸﾚｸﾚﾖﾝ(´･ω･`)
288 ：DNS未登録さん：2006/02/01(水) 11:30:44 ID:???: https バーチャルホストでぐぐれば出てくると思います。
289 ：283：2006/02/01(水) 11:33:21 ID:???: >>288
うい　Google祭り行ってまいります
290 ：DNS未登録さん：2006/02/01(水) 17:49:59 ID:???: >>281です。自己解決いたしました。
なにやらJavaのバージョンが違っていた？とのことでした。
PCセッティングの際の間違いだったようです・・・

良くわからなかったけど結果オーラ！
ありがとうございました。
291 ：DNS未登録さん：2006/02/06(月) 03:22:06 ID:euibbhiE: >84
そこは元・淫多亜「窮」が母体になってる企業でしょｗｗｗ
292 ：DNS未登録さん：2006/02/06(月) 04:20:00 ID:euibbhiE: 携帯電話会社って、なんで高いＣＡしか認証しないんだろ？なぜもっと柔軟性もって
認証枠の拡大ってやらないのかな？
293 ：DNS未登録さん：2006/02/06(月) 07:44:52 ID:???: >>292
自分たちの首を自分たちで絞めるような真似はしない、それだけのことだ。
294 ：DNS未登録さん：2006/02/09(木) 21:19:21 ID:???: ユーザーがあぽだから。
295 ：DNS未登録さん：2006/02/10(金) 09:52:58 ID:???: あぽー
296 ：DNS未登録さん：2006/02/19(日) 15:58:43 ID:???: 個人用途でオレオレ認証局作るぐらいならsshでトンネルしたら
いいんでないの。
設定はsshの方が300倍くらい楽だし、セッションの維持は autossh に
お任せ。どう？
297 ：DNS未登録さん：2006/02/19(日) 19:07:34 ID:???: マンガ喫茶とかイソターネットカフェでブラウザ使って
俺サーバのWEBメール読み書きするのに必要

ということにしたいです
298 ：DNS未登録さん：2006/02/20(月) 11:25:37 ID:???: >>297
それは（sshトンネルでもそうだけど）画面ダンプを飛ばされてたら意味なし夫
299 ：DNS未登録さん：2006/02/26(日) 03:06:25 ID:???: sshでアクセスするのにパスって画面に写らないよね？
メールの内容は飛ばされちゃうかもしれないけど。
300 ：DNS未登録さん：2006/02/26(日) 03:18:36 ID:/9z5IMCe: >>299
キーボード入力はキーロガー、スクリーンキーボードつかっててもそれは写ってしまう

つまり仕込まれてる可能性のあるPCはどうやっても安全にはならない
301 ：DNS未登録さん：2006/02/26(日) 08:44:32 ID:???: そこでワンタイムパスワードですよ

画面とばされたらメール内容は読まれちゃうけどね
302 ：DNS未登録さん：2006/03/04(土) 01:58:08 ID:???: >>301
OTPで秘匿できるのは元パスワードのみ。まさしく>>300の言うとおり、
信頼できない端末でじたばたするのは無意味、なはず

そこでTrustedComputingらしい。なんだか知らないけどどういう仕組み
なんだろう？
303 ：189：2006/03/05(日) 11:18:51 ID:???: Digital Trustより安そうなCAを見つけてしまった...orz
http://www.trustlogo.co.jp/handy_phone.htm
このページで確認した所、au W32Hで問題なく見れたよ。

...まぁいいや、次の更新時に安いほうで契約すればいいんだから。
304 ：189：2006/03/05(日) 11:21:06 ID:???: ...って確認したら、ちゃんと >187にかいてあるじゃないか...orz

それとも最近値下げしたのかなぁ。
305 ：DNS未登録さん：2006/04/02(日) 08:25:57 ID:???: くぁwせdrftgyふじこlp；
一生懸命、自鯖にSSL使えるように頑張ってたのに。。。
au使えないのか
ここ3日の苦労が水の泡
結局SSL使えるようにならなかったからあきらめがつくけどね
306 ：189：2006/04/02(日) 12:28:34 ID:???: >>305
>303なら8,300円／年で使えるが。

Apacheの設定は、付属の設定ファイルをコピーして必要な所だけ変更して
作れば大して難しくないが。
307 ：305：2006/04/02(日) 12:40:47 ID:???: >>306
ボクubuntu使ってるんですよ
Apache2.0

apache2-ssl-certificate
a2ensite
a2enmod
という便利なコマンドが用意されてて簡単なはずなのにできませんでしたorz
308 ：DNS未登録さん：2006/04/02(日) 17:47:12 ID:???: Apacheのmod-sslと、ben-sslってどんな違いなんでしょうか
yumや、FreeBSDのportで普通にインストールしたSSLって、mod-sslですよね？
309 ：DNS未登録さん：2006/04/02(日) 21:06:38 ID:???: Ben-SSL とはこれまた懐しいものを……。
310 ：DNS未登録さん：2006/04/02(日) 21:44:41 ID:???: 申し込む際に、選択項目にあったもので・・・ちょい迷いました
311 ：DNS未登録さん：2006/04/06(木) 01:28:15 ID:cU625loL: [Rapid SSL] と [ジオトラスト]
携帯にはどちらも対応していますか？
312 ：もも：2006/04/21(金) 14:12:04 ID:GIimClSl: SSLの形式で１２８ビットと1024ビットがありますけど　どう違うのですか？
313 ：DNS未登録さん：2006/04/21(金) 17:27:08 ID:???: あほかと・・・
314 ：DNS未登録さん：2006/04/21(金) 18:00:53 ID:???: あほかと、、、と思う割に、暗号化強度が違う、程度の答えしか持ち合わせていない俺は
315 ：DNS未登録さん：2006/04/21(金) 18:20:04 ID:???: SSLの(対称)暗号鍵の長さとRSA鍵の長さでは・・・
316 ：DNS未登録さん：2006/05/21(日) 02:38:28 ID:???: Mac OS X 10.4では自前で証明書や認証局を作れるんだな。
317 ：DNS未登録さん：2006/05/21(日) 04:56:13 ID:???: FreeBSDだし
318 ：DNS未登録さん：2006/05/24(水) 11:21:17 ID:fhGaWOQb: http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/chap3/ssl/iisssl.html

ここみてWidowsで認証局をたちあげようとしたのですがXP Proには認証局サービスがありませんでした。
Windows付属の認証局というのはXPにはないんでしょうか？
319 ：DNS未登録さん：2006/05/24(水) 11:37:37 ID:???: 信頼されたソースからビルドして使うのが普通だからねぇ。
得体の知れない人間がビルドしたものなんか信用できやしねぇ。
320 ：DNS未登録さん：2006/05/24(水) 13:16:09 ID:???: >>318
Server版じゃないとだめ。
321 ：DNS未登録さん：2006/05/25(木) 08:34:55 ID:???: ジオトラストってベリサインに買収されたんだな。
322 ：DNS未登録さん：2006/05/25(木) 10:19:35 ID:???: >>321
まじで？
323 ：DNS未登録さん：2006/05/25(木) 10:29:26 ID:???: マジ
324 ：DNS未登録さん：2006/05/25(木) 18:58:26 ID:???: >>321
本国でのことですよね？
どこかにソースがあったらお願いします

ジオトラストも高くなるのかな？
325 ：DNS未登録さん：2006/05/25(木) 22:42:10 ID:???: >>324
ジオトラスト　買収　ベリサイン　でググればたくさんのソースにヒットするよ。
326 ：DNS未登録さん：2006/05/29(月) 15:26:45 ID:???: この買収に関することって結構大きな話題だと思うのだが、5スレで終了かぁ。
ジオトラストの価格が高くなりませんように。
327 ：DNS未登録さん：2006/05/29(月) 16:56:58 ID:???: >>326
影響は大きいかもしれないけど、何か話題ある？
振ってみてみて。
認証商売もそんなに儲かるわけじゃないかもしれない。
ネット関係の市場はもう拡大しないかもしれないという割り切りがあるのかもね。
328 ：DNS未登録さん：2006/05/29(月) 18:31:15 ID:???: ネット市場は成熟しつつあるけど、認証商売はこれからじゃないの?
329 ：DNS未登録さん：2006/05/30(火) 13:57:34 ID:???: root証明書をユーザーの端末に仕込むのは結構な労力、ということが認知されたんでしょ。
寡占が進めばそのバランスは変わると思うけど、まだまだ統合は進むんじゃない？
330 ：DNS未登録さん：2006/05/30(火) 17:23:18 ID:???: >>326
5スレもいったなら凄いと思う
331 ：DNS未登録さん：2006/05/31(水) 14:58:58 ID:FepcIAjd: 外出だけどCAcert.orgを使った認証局じゃだめなの？
無償だからこれで我慢して使っていこうかと思うんだけど。
332 ：DNS未登録さん：2006/05/31(水) 16:14:39 ID:???: そんなの場合によってよかったり駄目だったりなのは、いうまでも無いとおもうけど。
333 ：DNS未登録さん：2006/06/18(日) 08:39:42 ID:4klI8n6J: ips.co.krのＳＳＬ
だと安いよ。翻訳必要だけど。年2000円でＳＳＬ使える。
334 ：DNS未登録さん：2006/06/18(日) 08:42:25 ID:4klI8n6J: http://www.ipsca.co.kr/
335 ：DNS未登録さん：2006/06/18(日) 12:23:39 ID:???: オレオレ認証とどっちが信用できる？
336 ：DNS未登録さん：2006/06/20(火) 11:51:56 ID:???: 第三者が使わない&携帯電話で使うんじゃなければ、オレオレで十分
337 ：DNS未登録さん：2006/06/20(火) 16:05:49 ID:/tChYQ8Q: krドメインで出してる認証局なんて怖くて使えないなｗ
証明書取得に出した書類とかどっかに回されそうだし。
まだオレオレ認証のほうがマシ
338 ：DNS未登録さん：2006/06/20(火) 18:04:32 ID:???: オレオレ認証より少しはマシでしょ。
339 ：DNS未登録さん：2006/06/20(火) 18:29:28 ID:???: 個人が使うだけならオレオレ証明書が一番安全
自分で自分自身を保障してるって事だからな
さすがに他人より自分が一番信用できるだろう
証明書のインストールもUSBなりでコピーだろうし

証明書を直接渡せない不特定の第三者が使うからこその認証局の必要性が出てくる
まぁ携帯電話とかはオレオレ証明書インストールできないから
携帯会社が保障した認証局の証明書入れとくかって話にはなるがな
340 ：DNS未登録さん：2006/06/20(火) 18:36:00 ID:???: オレオレ認証とヘナギとどっちが信用できる？
341 ：DNS未登録さん：2006/06/20(火) 21:24:48 ID:???: 安いだけなら年$12くらいからあるけどね。
342 ：DNS未登録さん：2006/06/20(火) 23:36:58 ID:???: >341
そこまで安いところで、au携帯が認証できるルートサーバを使っている
所なんてあるのか？

あったら是非教えて欲しい。
343 ：DNS未登録さん：2006/06/21(水) 21:35:38 ID:???: >342
あくまでipsCAより安いのあるよって出しただけだし。携帯なんてしらね。

auはSSLの情報ほとんど出してないしな。Link-by-LinkならGTEとか通ったよな？
日本で知ってるとこだと6000円からあるけど、もっと安いのってある？
344 ：DNS未登録さん：2006/06/21(水) 22:47:45 ID:???: >343
過去ログ嫁。
345 ：DNS未登録さん：2006/06/21(水) 23:50:14 ID:???: >344
どの部分に対して言ってんのかわからんけど。
別にオレは携帯向けにサービスしようと思ってないからどーでもいい。
346 ：DNS未登録さん：2006/06/28(水) 02:41:39 ID:???: 質問です。
yahooでSSL(https)でログインできるみたいですが、
標準（http）でログインしたときも、パスワードは暗号化
して送信されるようです。

これってどんな仕組み（ソフト）を使ってるんでしょうか？
347 ：DNS未登録さん：2006/06/28(水) 02:54:25 ID:???: ソース読んで皆
348 ：DNS未登録さん：2006/06/28(水) 03:23:17 ID:???: >>374
返事ありがとうございます。
JavaScriptが出てきました。

JavaScriptあんまりわからないんですが、
JavaScritが暗号化してから、接続して
送信するんでしょうか。
349 ：DNS未登録さん：2006/07/20(木) 00:06:53 ID:???: >>348
パスワードにサーバから送られたソルトをかけて、そのハッシュを送ってる。
と思う。
350 ：DNS未登録さん：2006/07/20(木) 00:20:45 ID:???: >>348
もうちょっと噛み砕く。
ログインボタンを押すと、
function hash
が走って、中でハッシュ作ってサブミットしてる。
function MD5
はブラックボックスでハッシュ関数と考えてよい。
hidden の .challenge がソルト。
351 ：DNS未登録さん：2006/07/24(月) 15:32:07 ID:???: >>350
おおお、久々に見にきたら。
ありがとうございました。
352 ：DNS未登録さん：2006/08/29(火) 12:26:51 ID:???: ホスト名が一緒で台数無制限な証明書を発行してくれて、安いところってどっかあります？
ワイルドカードじゃなくていいので。
353 ：DNS未登録さん：2006/08/29(火) 13:47:27 ID:???: >352
FQDNが同じなら、同じ証明書を使わなければならんでしょ。
よって契約で禁止されていなければ、普通のサーバ証明書で良いはず．
＃まー最低価格帯の証明書だと禁止している可能性もあるわな。
354 ：DNS未登録さん：2006/08/29(火) 14:18:07 ID:???: >>353
同じである必要は無いよ。

ちなみにVerisignやBeTrustedは、コールドスタンバイマシンに入れる場合は1ライセンスでいいが、
ロードバランサで分散とかDNSラウンドロビンとかして、同時にインターネットから見てサービス状態に
あるものたちにはそれぞれの台数分のライセンスを買え、といわれる。
355 ：DNS未登録さん：2006/08/29(火) 14:48:18 ID:???: >>354
> 同じである必要はないよ。

そりゃそうか。技術的には1つで済ませる事が可能だからといって、
契約がそうなっている訳じゃなし。

> ちなみにVerisignやBeTrustedは、コールドスタンバイマシンに入れる場合は1ライセンスでいいが、
> ロードバランサで分散とかDNSラウンドロビンとかして、同時にインターネットから見てサービス状態に
> あるものたちにはそれぞれの台数分のライセンスを買え、といわれる。

情報Thanks.
だから結構高いSSLアクセラレータ箱が売れるんだな。
各PCに暗号ハードウェアを載せた方がコストパフォーマンスに優れているはずなのに、証明書を台数分売り
つけられると高くなるわなぁ。
356 ：DNS未登録さん：2006/08/29(火) 16:23:10 ID:???: うわー、すげーいいスレだね、ここ。
実はまったく同じくAUで使えるやつさがしてました。
グループウェア用だから安いのっておもってて
trustlogoでいいかなー、とおもっていたら
http://www.positivessl.com/
ってのをみつけたよ。誰か試してみてくれないか？
自分でためせっていわれるとおもおうけど、環境がないのでーす。
357 ：DNS未登録さん：2006/08/29(火) 19:35:14 ID:???: >356
これToritonとほぼ同じだろう。ルートCAも同じCOMODOだし。

　　なし　　　　　　=　Positive SSL($14.90)
Toriton SSL($79.95) =　INSTANT SSL($79.95)

Positive SSLは保険がないなど、多少見劣りがしそうでは
あるが、自宅鯖には関係ない罠．

ちなみにこのサイトのInternationalを見てみると、日本は
Toriton Inc. http://www.trustlogo.co.jp/ が代理店だとさ。
道理で同じわけだ。

そういう訳で、人柱キボン。
＃漏れの所はもうSSL使っているので、お試しができないんだよ。
358 ：DNS未登録さん：2006/08/29(火) 23:33:34 ID:???: >>353
んで、どっか紹介してほしかったのよ。
どなたかここなんていかが？なんてない？
359 ：DNS未登録さん：2006/08/29(火) 23:35:11 ID:???: 結論からいうとNGですた。
LiteSSL CA ってのの発行になる。
ブラウザでは問題なかったけどAUではダメだった。
360 ：DNS未登録さん：2006/08/30(水) 00:07:16 ID:???: >>358
BLADE
http://www.blade-ntt.com/SecurePassport/index.html
livedoor SSL
http://secure.livedoor.com/
361 ：DNS未登録さん：2006/08/30(水) 12:29:13 ID:???: >359
Thanks.

>360
なかなか親切な香具師だな(W
362 ：DNS未登録さん：2006/08/30(水) 21:56:38 ID:???: 待ってくれれば既に去年にlitessl.comだった時に試した香具師がここに居たのに…
RootCAはUTN - USERFirst-Hardwareな
363 ：358：2006/08/31(木) 05:56:17 ID:???: >>360
さんきゅー。
BLADEは知っていたけど、livedoorは初めて知った。
364 ：DNS未登録さん：2006/08/31(木) 15:15:04 ID:???: >363
値段は調べたのか？

ま、業務用としては安い方かもしれん。
365 ：363：2006/09/01(金) 15:54:40 ID:???: 6万じゃないの？税込みで63000円。業務用だから、このくらいの価格は問題なし。
366 ：DNS未登録さん：2006/09/01(金) 16:53:15 ID:???: すまんが、誰か教えてくれ。
AUでSSLしたくて安いところを探してました。
で、positivesslをテストしたけど、AUでははじかれた。
発行者はlitesslってところだったから、そのせいかな、とおもってた。
trustlogoと同じcomodoだから大丈夫！とおもってたので不思議だったんだけど
comodoってのはルート証明書ってのは、どっかのを使うようになっていて
trustlogoはたまたまAUの携帯でも使える認証局のものをつかってるから
使えるっていう理解でいいんでしょうか？
だとしたらAUで使えるルート認証局をつかっててcomodoでサービスしてる
安いところを探せばおっけー？
367 ：DNS未登録さん：2006/09/01(金) 16:55:40 ID:???: すまんが、誰か教えてくれ。
AUでSSLしたくて安いところを探してました。
で、positivesslをテストしたけど、AUでははじかれた。
発行者はlitesslってところだったから、そのせいかな、とおもってた。
trustlogoと同じcomodoだから大丈夫！とおもってたので不思議だったんだけど
comodoってのはルート証明書ってのは、どっかのを使うようになっていて
trustlogoはたまたまAUの携帯でも使える認証局のものをつかってるから
使えるっていう理解でいいんでしょうか？
だとしたらAUで使えるルート認証局をつかっててcomodoでサービスしてる
安いところを探せばおっけー？
368 ：DNS未登録さん：2006/09/01(金) 17:06:15 ID:???: 連続投稿しちゃった、すまそ。

調べたら記述があった。

　従来 COMODO の証明書は GTE CyberTrust root が用いられていました。
　この証明書は携帯電話・PHS にも導入されている機種が多く、
　携帯電話・PHS 向けの運用にもご利用いただける証明書としてご利用いただきましたが、
　2005年秋よりルート証明書 AddTrust/UTN root へ変更となりました。
　GTE CyberTrust root を用いた証明書は
　「携帯電話・PHS対応版」と記載された証明書でご利用いただけます

http://ssl.jp/cert

いまから申し込んでも駄目なのかなぁ・・・
369 ：DNS未登録さん：2006/09/01(金) 17:25:36 ID:???: >368
その情報、かなり誤解(?曲解、嘘?)が含まれていると思われ。
「激安証明書は、root CAがAddTrust/UTNrootなので日本の携帯では使えません」
と言いたいだけだろう。

www.trustlogo.co.jp(Triton, Inc.)で今年の8月に買った証明書
(Triton,Inc SSL 8,300円／年)は、ちゃんとAU携帯で使えるよ．
370 ：DNS未登録さん：2006/09/02(土) 12:56:40 ID:???: trustlogoで申し込むといろいろと書類出せといわれるみたいだけど
positivesslだと言われない？
371 ：DNS未登録さん：2006/09/07(木) 13:54:57 ID:???: 日本コモドがUTNのrootに変えるみたいなんだけど。
http://www.comodojapan.com/20060906.html
372 ：DNS未登録さん：2006/09/08(金) 12:30:21 ID:???: >371
Enterprise SSLだけだろ？当面関係ないと思われ。
携帯相手の商売をやってる会社は困るかもしれんが。
373 ：DNS未登録さん：2006/09/13(水) 12:39:36 ID:t+5oXWbo: もう www.trustlogo.co.jp だと携帯で使えなくなっちゃうの？
ttp://www.trustlogo.co.jp/press_center/2006_09.htm
374 ：DNS未登録さん：2006/09/13(水) 15:34:08 ID:???: >379
ぐえ、3年契約にしておけばよかった...orz
...今からでも遅くはないか？
375 ：DNS未登録さん：2006/09/19(火) 00:49:34 ID:???: trustlogって長期で契約すると損するよ。
1年　8300円　79.95ドル
2年14300円　99.95ドル
3年19700円139.95ドル
明らかにぼったくり。1年んから2年で20ドルしか増えてないのに6000円も増えてる（笑
携帯で使えなくなったらrapidsslでも使った方がよっぽどまし。
376 ：DNS未登録さん：2006/09/19(火) 11:04:51 ID:???: >375
ボッタクリでも使えなくなるよりはマシ。
日本円での割引が少ないだけだろ。
今月中ならまだrootがGTE CyberTrustの証明書が来るんだろ？

簡単に証明書を出すアホCAが増えたせいで、CAの正当性が危機に
瀕しているんだよ．今回の件はCoMoDo社がそういう困った会社
だと見なされて、CyberTrust社から契約切られたんだろう．

3年契約しておいて、3年後に期限が切れたらその時に考えようと．
3年もあれば、その時の証明書の値段に見合うサービスになっている
かどうか、判断して決めれば良いこと。
377 ：DNS未登録さん：2006/09/21(木) 13:22:57 ID:???: 8月頭に1年有効な証明書を買ったが、これ知ったのは返金補償
の30日を過ぎた後．当然文句を言ったが、どうにもならない。
契約は契約なので、仕方なく別FQDNで9/15に申し込んだ。9/20
に送られてきた証明書はまだrootがGTE CyberTrustのままで、
au携帯(W32H)で問題なく使える．

もし来年までにTritonの証明書が携帯各社に採用されているroot
証明書に乗換えられたら、まぁ笑ってくれ．

ssl.jpのページによれば、他のroot CAに移ると条件が厳しくなる
なるらしいから、無駄にはならんと思う．
http://ssl.jp/

しかしssl.jpが代替手段として勧めているD-U-N-S Numberって
何の事かと思ったら、こんなアホ臭いサービスらしい：
http://www.dnb.co.jp/

我々が求めているのは携帯と安全にSSL/TLS通信がやりたいので
あって、企業の格付けとは無関係なのだが。頭弱いね＞ssl.jp
378 ：DNS未登録さん：2006/09/21(木) 13:58:19 ID:???: Digitrustは、一応まだ大丈夫らしい：

https://www.digitrust.jp/environment.html

対応端末：
携帯電話 GTE Cyber Trust Rootのルート証明書が取り組まれている端末

値段がイマイチ高いのが難だが、ここが最後の砦になるかもしれん。
379 ：DNS未登録さん：2006/09/22(金) 13:34:25 ID:???: >>376
まともの会社なら、こういう会社は使わないよ。
個人とか相手にしてるからこういうおかしな価格設定通用するんだろうね。
あるいは担当者が間抜けなのか。

>>378
良い情報ありがとう。

PDA　Phoneが増えれば解決するかもしれないけどねぇ・・・。
380 ：37[678：2006/09/22(金) 13:45:21 ID:???: >379
発行された証明書は、余程の事が無い限り有効期限まで
有効である事が保証されている．だから駆け込みで3年契約した訳．

＃Digitrustよりよっぽど安いし、Digitrustの証明書のroot CAが
　後3年間変わらないという保証もないし。
381 ：37[678] 380：2006/09/22(金) 14:00:13 ID:???: ＃>380は途中で送ってしまった。申し訳ない．

>> 379
> まともの会社なら、こういう会社は使わないよ。
> 個人とか相手にしてるからこういうおかしな価格設定通用するんだろうね。
> あるいは担当者が間抜けなのか。

こういう安いCAは、当然個人やSOHO、小規模企業を相手にしているのだから、
特に問題は感じないが．「おかしな価格設定」ってよくわからんのだが。

>>375 の事かな？
各契約のドル換算レートが以下のようになっている事を問題にしている？
1年：$1.00 = ￥103.81
2年：$1.00 = ￥143.07
3年：$1.00 = ￥140.76

まぁ確かに下手糞な値段設定だとは思うが、US$で発生する費用と、JP￥
で発生する費用があるから、こうなる事もあるだろう．1年契約をわざと
安くしておく戦略価格なのかもしれない．
ここ印鑑証明まで要求してくるから、手続きが面倒なんだよね。
だからそれくらいなら...と3年契約に誘導しているのではないかな？
382 ：DNS未登録さん：2006/09/22(金) 21:01:06 ID:???: >>378
COMODOとCyberTrustが契約解消した以上ここもそろそろアナウンス出しそうだけどね。

Toritonのが12月に切れるから早めに新しく買っておくかなぁ。
個人相手にGTE出してくれる良いとこだったのに。
383 ：DNS未登録さん：2006/09/25(月) 01:18:52 ID:???: digitrust よりさらに高いけど NetworkSolutions 系列:
http://w3lab.org/index.html

GTE CyberTrust Global Root からたどれるのって Comodo と NSI 以外に
他はどこがあるの？
384 ：DNS未登録さん：2006/09/27(水) 03:34:03 ID:RETEZ/YC: http://www.s-page.net/

↑ここが３年で８８００円なんで申し込もうかなと思ってるんだけど
日本でもっと安いとこがあるなら教えてもらえませんか？RapidSSL
385 ：DNS未登録さん：2006/10/06(金) 23:42:20 ID:???: DigiTrustから連絡が来たが.... To: に客全員と思われるメールアドレスが
ならんどる(-_-###

予告もせずにこの有様では、終わっているなこの会社。
386 ：DNS未登録さん：2006/10/11(水) 17:33:59 ID:???: ttp://www.netsolssl.com/repository/practice_statement.html

> Network Solutions relies on BeTrusted (www.betrusted.com - AICPA/CICA WebTrust
> Program for Certification Authorities approved security provider) for its Root CA Certificate for
> Digital Certificates issued on or before July 20, 2006, and UTN-USERFIRST-Hardware and
> AddTrust External CA Root for its Root CA Certificates for Digital Certificates issued after July 20, 2006.
387 ：DNS未登録さん：2006/10/12(木) 11:51:46 ID:???: pass phraseの変更ってどうやるんですか？
388 ：DNS未登録さん：2006/10/18(水) 23:53:17 ID:???: すごく初歩的な質問ですみません。
httpsであれば「必ず」クライアント証明書かサーバ証明書のどちらかが使用されますか？
逆に、クライアント証明書かサーバ証明書のどちらかを使用した通信は「必ず」https�