2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【認証局】SSLに関するスレ1枚目【ぼろ儲け】

1 :リアル3歳児 ◆DVDR/r8S8s :03/12/14 03:11 ID:Z1USuUcd
セキュ板でもUNIX板でも、ろくすっぽ話題にならないので立ててみますた。

自宅サーバでもSSLきちっと使いたい人は多いと思う。
ただ、自分だけで使うならともかく、公開するならCAの問題つーか
証明書取るコストが問題なんですよね。

また技術的な面でも色々情報交換しましょう。
今はhttp以外のプロトコルでもSSLを使った実装が増えてきてますし。

2 :DNS未登録さん:03/12/14 03:22 ID:???
2枚目はないよ

3 :DNS未登録さん:03/12/14 03:36 ID:Z1USuUcd
(参考)

認証局関連のリンク
ttp://www.nakajima.com/takao/secuca001.html

自前認証局でSSLクライアント認証
ttp://evo.human.waseda.ac.jp/~shigeki/linux/ca.html

自分の認証局を立ち上げるときの参考になるページ
ttp://www.nakajima.com/takao/howtoca.html

SSLによる暗号化通信および認証に関する研究
ttp://www.nagano-it.go.jp/jyouhou/report/2000/0014.pdf

4 :リアル3歳児 ◆DVDR/r8S8s :03/12/14 03:40 ID:Z1USuUcd
あ、>>3は私です。

>>2
おそらく・・・そうでしょうね。
この板ってセキュリティスレも閑散としてますし。


5 :DNS未登録さん:03/12/14 03:48 ID:f9Rff7LY
はやくねろ

6 :DNS未登録さん:03/12/14 04:01 ID:???
http://www.comodogroup.com/
OCMODOの代理店とかやってる業者有るけど
こういうのはどうなの?

7 :DNS未登録さん:03/12/14 04:06 ID:???
じゃあ2ちゃんねるCA とか作ろうぜ(笑)

8 :DNS未登録さん:03/12/14 12:05 ID:???
SSLが必要なだけなら、自分で立てて終わり。
SSL+上位CAの認証が必要なら、金出すか諦める。

そんでも何とかしたいなら >>7 になるんだろうけど。

9 :リアル3歳児 ◆DVDR/r8S8s :03/12/14 13:05 ID:Z1USuUcd
実際、証明書買うとなったら、ナン百万も出してられないので
どっかのリセラーで買うことになると思いますが、色々見てみると
けっこう安いところもあるようです。

しかし案の定つーか、CAが聞いたことがないような所だったりして
IEやNNにデフォルトではルート証明書が入ってないから、利用者側に
一度インストールさせる手間がかかるようです。

そんなのだったら、自前で認証局サーバ立てちまうのもいいかも、
とか思う今日この頃なのです。

2ちゃんねるCA作るにしても、誰かが一手に引き受けないといけないのが難点かな。
某DNS互助会みたいに相互で認証し合うのは仕組み上煩わしいから。

10 :DNS未登録さん:03/12/14 14:31 ID:???
>>9
>IEやNNにデフォルトではルート証明書が入ってない

そんなCAに金払うバカがいるのか?

11 :7,10:03/12/14 14:54 ID:???
なんとなく、>>9を見て、>>1は自分で安い認証局を探すのが嫌だから人に聞いて済ませようと
思っただけなんじゃないかという気がしてきた。

本当に自分で色々調べたなら、「何百万」もかからないと言うことを知っているはずだから。
以下に割と有名な日本語で申しこめるところを列挙しとくが、高いと評判のベリサインジャパンですら
年額8万くらいだぞ。

ベリサイン 85050円
http://www.verisign.co.jp/server/products/

セコムトラストネット 65,000円
http://www.secomtrust.net/service/ninsyo/forweb.html

日本認証サービス 58,000円
http://www.jcsinc.co.jp/service/server.html

ジオトラスト 34,800円
http://www.geotrust.co.jp/quickssl_premium/index.html

SecureStage(ジオトラストの代理店ぽい) 18000円
http://jp.securestage.com/


12 :DNS未登録さん:03/12/14 15:18 ID:???
>>1
> セキュ板でもUNIX板でも、ろくすっぽ話題にならないので立ててみますた。
話題にならない理由を考えれば、こんな所に使えないスレは出来ないわけだがどうよ?

13 :DNS未登録さん:03/12/14 15:29 ID:???
タダの CA もあったりする。
http://freeca.digion.com/

ちゃんとしたところかどうかは知らない。

14 :DNS未登録さん:03/12/15 13:20 ID:???
>>13
> 今後、半年から1年程度の試験運用の後、
> より機能を高めた電子認証局の運用を有償とすることで、
> インターネット上のセキュリティをビジネスとして取り組んでいく考えです。
ってプレスリリースに書いてありますた。

15 :DNS未登録さん:03/12/26 06:55 ID:???
>>6
うちはC○MODOで2年/$114というのを自宅鯖(DDNS&個人名)にしてみた
自己満足にしか使っていない(IE/NNとかならデフォでrootにはいってる)

1ヶ月無料トライアルが使える(この間に設定方法をいろいろ試して、出来ると踏んでから2年購入)

やり方が悪かったのかもしれんが1ヶ月トライアルは日本の代理店は絡んでないようで
全部英語のページに飛ばされた。・・・やりとりも英語で良く解らなかった。

個人だったので証明書としてパスポートと運転免許証の写しをメールで送ったが3ヶ月くらい
音沙汰なしで忘れた頃に認証しましたのメールがきた。

やるならがんばれ

16 :DNS未登録さん:03/12/29 13:39 ID:???
このスレ終了。
すでに>>7
でいってるとおり。
サービス範囲が決まってて知り合いばっかりだったら別に自鯖にCA仕込んで
CA証明書クライアントに配って終わり。
上位CAと信頼関係確立したいんなら素直に金払えよこの貧乏人が。

17 :DNS未登録さん:03/12/29 15:00 ID:AKp7DuQ6
>>16
勝手に終わりにしないでくれ。
せっかく>>15みたいに良い情報出てきたばかりなのに。


18 :名無しさん@お腹いっぱい。:03/12/30 16:01 ID:???
くだらん。藻前らヴァカばっか。
by よしかわ与太郎風

19 :DNS未登録さん:03/12/30 16:13 ID:???
馬鹿ばっか
by ルリルリ風

20 :DNS未登録さん:03/12/30 17:07 ID:???
このスレに↓が潜伏してる?
http://pc2.2ch.net/test/read.cgi/hosting/1018148651/


21 :DNS未登録さん:03/12/30 17:16 ID:???
最近矢印を使う奴増えたな。
大抵言いたい事も良く伝えられない厨房なんだけどな。

22 ::03/12/30 18:02 ID:???
↑↑↑

23 :DNS未登録さん:04/01/05 17:59 ID:K+BGwjsb
>>15
Thanks! これか。
http://www.instantssl.com/

国内代理店はここみたいだね。
http://www.trustlogo.co.jp/

24 :DNS未登録さん:04/01/06 22:55 ID:???
http://www.ev1servers.net/english/index.asp

ここだと$19.95でChainedSSLの証明書が取得できる。
ただ、InstantSSL Proのように個別にLogoをもらえないんだよね。

まぁ、そこは値段との兼ね合いかな?
とりあえず警告でないだけいいや。と思って使ってます。

25 :DNS未登録さん:04/01/08 10:01 ID:x+jSlQnq
こういった安い証明書を携帯ブラウザが受け入れるのかどうか知りたいよね。
漏れauのbrew機使っているので、自宅サーバでp2使ってます。
生のhttpにパスワード流したくないので、ssl用意したら、
携帯ブラウザが自己証明書を拒否してくれて...


26 :DNS未登録さん:04/01/08 11:51 ID:RMqYSyCQ
金持ち父さん貧乏父さんを読みましたか?アメリカでは日本とさほど物価が変わらないのに
広い庭にプール付の一戸建てを持っている人多いですよね?
それはアメリカ人の大半が『不労所得』を得ているからです。
日本でも既に始まっています。下の最強情報です。初心者向けなので安心です。
みんな黙っているけど、隣の人も不労所得を得ているんですよ。
お金に興味の無い方は見ないでください…驚愕の内容なので。

http://www.google.com/search?q=%E6%9C%80%E5%BC%B7+%E3%83%90%E3%83%96%E3%83%AB&ie=UTF-8&oe=UTF-8&hl=ja&lr=

27 :15:04/01/08 16:40 ID:???
>>25
やってみました。
うちはauのA5402Sですが、拒否されました。
「このサイトは安全でない可能性があるため接続できません(発行者エラー)」
てなかんじです。

28 :DNS未登録さん:04/01/09 03:17 ID:S9VUSwL6
たしかAUはベリ以外ダメだったような・・・。

29 :DNS未登録さん:04/01/09 06:31 ID:kRPMaqeG
http://www.au.kddi.com/ezfactory/tec/spec/ssl.html
>WAP2.0搭載端末およびEZサーバには次のルート証明書が組み込まれています。
>
>・VeriSign Class 3 Primary CA
>・RSA Secure Server CA
だってさ、うーむ。


30 :29:04/01/09 06:57 ID:???
http://slashdot.jp/comments.pl?sid=124426&cid=408831&pid=408831&startat=&threshold=-1&mode=nested&commentsort=0&op=%CA%D1%B9%B9
なんかの話だと
SECOM/EntrustでもAUは大丈夫みたいだね

31 :DNS未登録さん:04/01/20 21:47 ID:???
あげ

32 :DNS未登録さん:04/01/21 00:09 ID:???
ベリでOKてことは、
thawteもOKてこと?

33 :DNS未登録さん:04/01/25 11:31 ID:CSGvseYn
COMOD〇は i-mode対応してるらしいYO。
http://www.trustlogo.co.jp/handy_phone.htm

34 :DNS未登録さん:04/01/28 16:31 ID:???
あげ

35 :DNS未登録さん:04/01/29 13:44 ID:667nh6Ek
法人のサイトに使用するんだけど、
この場合、法人名義でとるのと、個人名義(担当者名義)で
取るのどちらがいいんでしょう?
法人だと書類が手間がかかりそうで。

36 :通りすがり:04/01/29 14:22 ID:MSWkojGm
教えて下さい。
SSL サーバー証明書って作れないですか?

37 :DNS未登録さん:04/01/29 14:35 ID:???
>33
i-modeはどうでもいいんだよ。自己署名だって警告は出るけど受け付けるし。
Ez-webはどうなんだろね。

>35
常識で考えよう。
そのサイトは担当者の趣味か?それとも会社としてやってんのか?

38 :37:04/01/29 14:49 ID:???
お、auのA5501Tで https://www.trustlogo.co.jp/i/ にアクセスしたら
ちゃんと警告無しでつながったYO!
ここの一番安い証明書買ってみようかな。

39 :DNS未登録さん:04/02/02 06:36 ID:WZrEEx7M
保守アゲ

40 :DNS未登録さん:04/02/03 01:19 ID:MeS9YLnu
>>38

       巛彡彡ミミミミミ彡彡
       巛巛巛巛巛巛巛彡彡
   r、r.r 、|:::::           | 
  r |_,|_,|_,||::::::     ⌒   ⌒|
  |_,|_,|_,|/⌒     -="-  (-="    
  |_,|_,|_人そ(^i    '"" ) ・ ・)""ヽ  
  | )   ヽノ |.  ┃`ー-ニ-イ`┃    そうでっか、そうでっか、なるほどね
  |  `".`´  ノ   ┃  ⌒  ┃|  
  人  入_ノ´   ┃    ┃ノ\ 
/  \_/\\   ┗━━┛/ \\
      /   \ ト ───イ/   ヽヽ
     /      ` ─┬─ イ     i i
    /          |      Y  | |
    /           |      ヽ__|_|

       巛彡彡ミミミミミ彡彡
       巛巛巛巛巛巛巛彡彡
   r、r.r 、|:::::           |
  r |_,|_,|_,||::::::     /'  '\ |
  |_,|_,|_,|/⌒      (・ )  (・ )|
  |_,|_,|_人そ(^i    ⌒ ) ・・)'⌒ヽ
  | )   ヽノ |.   ┏━━━┓|
  |  `".`´  ノ   ┃ ノ ̄i ┃|
  人  入_ノ´   ┃ヽニニノ┃ノ\   ・・・・で?ロリポップがサービス悪いとでもいいたいの?
/  \_/\\   ┗━━┛/|\\
      /   \ ト ───イ/   ヽヽ
     /      ` ─┬─ イ     i i
    /          |      Y  |


41 :DNS未登録さん:04/02/03 04:37 ID:iFvVIIIV
>>36
opensslで作れ
http://www.openssl.org/

42 :DNS未登録さん:04/02/06 02:41 ID:axiZN64u
質問age

www.hoge.comという形でSSLを使いたいんですが、
申し込みをしようとしているCAではサブドメインについては別登録ということになっていました。
(mail.hoge.comとdb.hoge.comでは二件買いなさいってことだと思います)

wwwはサブドメインとして考えて「www.hoge.com」で登録すればいいんでしょうか?
それともwwwはサブドメインではなく「hoge.com」でしょうか?

エロい人教えてください。

43 :DNS未登録さん:04/02/06 03:51 ID:Jl+oApmv
>206
www.hoge.comとしてweb公開していたり、通常のアクセスをかんがえているなら、
www.hoge.comで取る。
ちなみに、負荷分散しているとき(webが複数台)もその台数分必要といわれた
<SSL販売会社に

hoge.comへhttpsでアクセスすると、警告画面でるよ。
前さがしていたときは、海外で、xxx.hoge.com(xxxはなんでも)とド
メイン単位の割安販売しているところもあった。
漏れは、それでも、1つ分よりは高いから、wwwだけでとったけど。

44 :DNS未登録さん:04/02/06 11:02 ID:???
>>42
あたりまえ。FQDNじゃないと何の証明にもならない。
たとえば、「.jp」とか「.com」とかの証明書を取得すれば全世界どこのホストも
騙れることになっちゃうだろ。


45 :DNS未登録さん:04/02/06 11:35 ID:CQiTSgsy
>>44
そういう言い方は変だな

46 :DNS未登録さん:04/02/06 13:00 ID:???
じゃあ普段
http://hoge.com/
へアクセスしてもらってる場合でも、
https://hoge.com/
にするのはムズイって事ですか?

47 :DNS未登録さん:04/02/06 13:01 ID:???

ああ、なんか直リンになってしまった。
スマソ

48 :DNS未登録さん:04/02/06 16:26 ID:???
>>46
それはできる。

49 :DNS未登録さん:04/02/07 00:55 ID:uvTefnfs
やはりwww.hoge.comにしないと意味がないようですね。
教えてくれてありがとうございます。

ttps://www.hoge.comを想定していたので>>46さんのとは違う状況でしたが

ということでテスト発行してもらってから、申し込みをしてみようかと。

50 :DNS未登録さん:04/02/07 03:44 ID:???
ワイルドカード証明書 *.hoge.com を発行する会社は以前あったが、
いまはしらん。


51 :めこ:04/03/03 05:14 ID:A5dBA4XZ
http://www.h7.dion.ne.jp/~c-c-i/
↑おれのホムペ!
中国で儲けよう!!

52 :DNS未登録さん:04/03/13 01:45 ID:tUTgnHWW
総警が値上げしたから、とりあえず安いとこ探したの。
トリトンってとこにしたよ、前レスでもあるやつ。
法人で申し込んだけど、サクッと設置完了。
悪くないよ。

53 :DNS未登録さん:04/04/03 07:06 ID:vD9yk5t8
ttp://onlinessl.jp/product/starterssl.html

こんなのどうよ。

54 :DNS未登録さん:04/04/03 20:22 ID:wG1/7ZFJ
         (::::::::::::::)         (:::::::::::::)  ……スレ違い
          )::::::::(           ):::::::(
        /::::::::::::;\        /::::::::::::; \
       // |:::::::::::: l |       //´|:::::::::::: l |
       | | .|:::::::::::: | |       | | |:::::::::::: | |
        | | /::::::::::::/| |      // /::::::::::::/| |
        U |::::::::::/ U      U  |::::::::::/ | |
         |::::||:::|  | |    | |  |::::||:::|  U
         |::::||::|   | ∧∧//  |::::||::|
          | / | |   ( ゜д゜ )/   | /.| |
         // | |   |    /   //  | |
        //  | |   | /| |   //   | |
       //   | |   // | |   //   | |
       U    U  U  U   U     U


55 : :04/06/15 10:46 ID:+5y72fx9
保守

56 :37:04/06/15 14:16 ID:???
最近au 5501Tが故障したので、修理に出したら5401Tが代替機できました。
そこで>38のURLにアクセスしようとしたら、証明書エラーですた....

まぁ買ってないからいいんだけどさ。

57 :DNS未登録さん:04/08/05 12:56 ID:5SjchHnN
質問です

SSLを導入すると認証局とやらに
多額の金を払いますよね?
そのような事をせずに、SSLを導入することは可能でしょうか?
それが「自前認証局」という奴でしょうか?
この「自前認証局」にすれば、無料でSSLに対応できるのでしょうか?

どうぞ、お教えくださいませ。


58 :DNS未登録さん:04/08/05 13:21 ID:???
他人から見た「信頼」が特に必要ないのであれば(SSLで暗号化だけできればいいのであれば)
導入に認証局は不要。

59 :DNS未登録さん:04/08/05 13:24 ID:???
>>57
証明機関でもインストールすれば?

60 :DNS未登録さん:04/08/05 13:31 ID:???
年41ドルも払えない奴がSSL入れようとするなよ。
お前が取り扱おうとしている情報はそれよりも遥かに高い。

61 :DNS未登録さん:04/08/05 18:19 ID:???
メールアドレス1件につき1円〜2円
100件100〜200円で、およそ$1.5
41/1.5=27
27*100=2700

∴取り扱うメールアドレスが2700件以下の場合は、SSLを入れる方が高い。

62 :DNS未登録さん:04/08/05 18:33 ID:???
>61
一体これは何の計算なんでせう?

63 :DNS未登録さん:04/08/05 18:35 ID:???
>57
httpsサーバ立ち上げられれば、わかるかもしれないから、
とりあえず自分でサーバ立ち上げて見ろよ。


64 :DNS未登録さん:04/08/05 18:43 ID:???
ハゲを禿しく励ます。

65 :DNS未登録さん:04/08/05 18:44 ID:???
>>62
http://pc5.2ch.net/test/read.cgi/mysv/1091282027/87

66 :DNS未登録さん:04/08/06 00:27 ID:YI/llkFw
>>60
年41ドルで何ができるのですか?
カード使えるようになるのですか??


67 :DNS未登録さん:04/08/06 14:16 ID:???
>>66
てめ〜で考えやがれ!

68 :DNS未登録さん:04/09/05 22:47 ID:ORWpSuHM
>>38
37じゃないけど、買ってみた。印鑑証明に実印がいるとは驚き。
発行要求を送った後に自宅サーバの秘密鍵を消してしまった、というチョンボを
やったけど、無料で再発行してもらえた。

携帯(AU A5406CA)からもちゃんとアクセスできる。

ただし、証明書を表示させると、自宅住所がばっちり表示される。
ここは印鑑証明いるから嘘を書けないんだよね・・・。

あ、あと、エロサイトには使えません、だってさ。
エロサイトにする気もないけど。

69 :DNS未登録さん:04/09/06 00:07 ID:???
>68
まぁ証明書は本来何処の誰かをはっきりさせる為に使う物だからね。
印鑑証明ぐらい要求されるのはやむを得ないと思う。

しかし金を扱わない自宅サーバ程度で、住所を隠せないってのはなぁ。
ドメインみたいに証明書発行業者の住所で登録できるようにしてくれれば
いいのに。補償無しでいいからさ。

70 :DNS未登録さん:04/09/06 13:31 ID:???
>>69
ドメインと違ってPKI (Public Key Infrastructure)は階層構造的に認証を構築する
から、発行業者名義(匿名)というわけにはいかないんだ。

AはBを信頼し、BはCを信頼するというモデルだから、Cが匿名だったりすると
Bの信頼性が崩れてしまい、それに伴って共倒れでAも信頼できなくなってしまう。
セキュリティホールと同じで漏れが一つでもあるとダメというのと同じだな。

さらに日本では電子署名を公的認証として利用できるようにする法律
「電子署名および認証業務に関する法律(通称・電子署名法)」があって
法的に有効性が明示されているので、匿名で鍵を発行してしまうとそれが犯罪
行為に利用されてしまったとき、鍵を発行した業者は犯罪の共犯者に
なってしまう(直接の判例はないが私的機関が発行した匿名の証明書で
共犯が成立した事例はある)というのもある。

71 :DNS未登録さん:04/09/08 16:21 ID:djsRaT5t
携帯に対応していて
アダルトにも対応していて
安い認証局といったら、ズバリどこでしょうか?

72 :DNS未登録さん:04/09/08 17:41 ID:cplWzskf
でもざっと通販サイト目を通した限り、ベリしか認証局見た事無いけど。。。
特に携帯のブラウザからの拒否を考えればそうなってしまうのか?

73 :DNS未登録さん:04/09/22 11:29:45 ID:lNOT28it
WindowsとLinuxってキーペアファイルに互換性あります?
乗り換えようかと思っているんですが・・・

74 :DNS未登録さん:04/09/22 11:50:49 ID:R+jk70yV
>>73
どういう形式でキーペアを受け取っているのかわからんが、apache+SSLなら
大抵の鍵形式を受け入れてくれるし、もしダメでもopensslを使って変換
することもできる。心配しなくてよし。

75 :73:04/09/22 12:52:06 ID:???
>74
ありがとうございます!安心しました〜
さっそく挑戦してみます!

76 :DNS未登録さん:04/10/12 11:22:04 ID:???
StarterSSLを使うと印鑑証明は要らないでFA?

自宅鯖&厨房にはキツすぎますよ。印鑑証明。


77 :DNS未登録さん:04/10/12 12:32:03 ID:???
>>76
自己署名にすれば?

78 :DNS未登録さん:04/10/12 12:38:44 ID:???
今、自己認証局&サーバー署名でやってるんですが
やっぱり警告ダイヤログがウザくて...。

一応CA証明書をWebにも貼り付けているんですが
これをインストールしてからアクセスしてくれる人が
あんまりいないw

いまキャンペーンで$19/年らしいので、ちょっと
検討してみようかと。



79 :DNS未登録さん:04/10/12 16:07:52 ID:???
>>78
http://www.onlinessl.jp/content/chained_qa.html

StarterSSL / ChainedSSL Wildcardで採用されているオンライン本人確認システムとはどのようなものなのでしょうか?

FreeSSL.comのオンライン本人確認システムは、SSL申請者とドメイン管理者、もしくはSSL申請者とサーバ管理者が同一人物、もしくは同一組織であることを確認します。
申込時に予め指定したメールアカウント、もしくはWHOISに登録されているメールアドレスへ本人確認メールを送信し、メールに添付されてあるURLをクリック、リンクがなされているウェブ上でSSL申請したことを認めるボタンをクリックすれば、本人確認は完了となります。

---
となってるから、要らないんじゃないかな。

でも、これって全世界のCAに対する信頼失墜行為だよなあ。
ルート証明書経由でも信頼できないサイトが存在し得ることになってしまう。

80 :DNS未登録さん:04/10/13 00:16:39 ID:???
>>79
何がどう信用できないのだ?

ちなみにSSLってのは商行為に信用を与えるものではないぞ。

81 :DNS未登録さん:04/10/13 10:33:02 ID:???
>80
まぁまぁ、79はPKIに理想を求める香具師なんだろ。
個人サーバ用には79の理想は制約がきつすぎるんだよなぁ。
ぶっちゃけ、auの携帯が自己署名を受け入れてくれれば、
別に証明書なんて買う必要まったくなしなんだな。

82 :79:04/10/13 11:02:40 ID:???
>>80
「SSL」(なり、TLSなり)は、確かに暗号化だけを担う技術だが、残念ながらHTTPSプロトコルには
サーバ認証という機能も含まれてしまっているんだよ。RFC2246とか、この辺↓とか参照のこと。
http://www.nic.ad.jp/ja/newsletter/No23/080.html
>>81の言っている「PKI」ってのはこれな。


>>81
そうだねえ。
そもそも、「暗号化」と「証明」をいっしょのプロトコルにしているのが間違ってると思うよ。
最初にNetscapeが「鍵マーク」のみじゃなくて、「暗号化マーク」と「認証マーク」の両方が表示されていれば
安全と呼べる、みたいな仕様にしておけばよかったんじゃないかと。
んで暗号化だけとかサーバ認証の片方だけ必要な人は片方だけ利用する、というかんじで。

83 :DNS未登録さん:04/11/02 22:32:43 ID:vPyjfk5t
age

84 :DNS未登録さん:04/11/15 21:47:39 ID:ewk1LACb
GeoTrustおよびその子会社のFreeSSL.comって、
代理店とかリセラーとか日本にうじゃうじゃあるみたいなんですけど、
しかも一部を除いてサイトの案内が直訳文章だったりして怪しいんですけど、
どういう位置関係なんでしょう?

GMOのグループ会社の「日本ジオトラスト」だけはまともっぽいんですが、
しかし日本の総代理店ということでもないみたいだし、
安価なFreeSSL.comのサービスについては現状では扱っていません。

FreeSSL.comのしっかりした代理店を望みたいところなんですが。

85 :DNS未登録さん:04/11/16 01:12:53 ID:???
>>84
しっかりしてないから安いのだよ。

FreeSSLじゃなくて、もっと高いのを買えばいい。

86 :DNS未登録さん:04/11/16 01:59:55 ID:f23MjBry
いやですよ、おふだに大金払うなんて。
本来暗号化だけで十分なんで。

87 :DNS未登録さん:04/11/16 07:55:56 ID:vJ78gK5n
暗号化だけでいいなら自己発行してろウ"ォケ

88 :DNS未登録さん:04/11/16 12:06:14 ID:???
>87
auの携帯さえなければそれで十分なんだが。
馬鹿な仕様変えろよ>KDDI

89 :DNS未登録さん:04/11/22 21:04:18 ID:+RSSDQu5
IEにデフォルトで入っているルートCAもしくは中間CAの中で、
サーバ証明書を無料で発行してくれる所はありますか?

90 :DNS未登録さん:04/11/22 21:30:00 ID:sVJHEs4c
ない βακα..._φ(゚∀゚ )アヒャ

91 :DNS未登録さん:04/11/22 21:35:40 ID:???
俺、オンラインショップでベリサインの証明書使ってるが、高いね。
個人でベリサインは珍しいかな。

92 :DNS未登録さん:04/11/22 22:08:15 ID:+RSSDQu5
やはり無料の所は無いですか。

そうですね。高いですね。
キャンペーン中で無料のはあるみたいですけどね。
確か1ヶ月でしたかね。
せめて半年ぐらいあるといいんですが。

93 :DNS未登録さん:04/11/23 04:12:27 ID:???
証 明 書 ご と き に 金 も 出 せ な い
貧 乏 人 が サ ー バ あ げ て
な に を や ら か す つ も り で す か ?

94 :DNS未登録さん:04/11/23 05:34:12 ID:???
つりですが?

95 :DNS未登録さん:04/11/23 10:56:07 ID:???
暗号化されるだけでいいから
自己発行してるのに
それだと警告メッセージがでてしまう

httpとhttpsって
帯に短し襷に長しってやつでしょうか?

96 :DNS未登録さん:04/11/23 11:03:23 ID:???
暗号化が必要なぐらいセンシティブな情報なら、当然に身元の確認も必要だろうという有難き配慮。

97 :DNS未登録さん:04/11/23 22:17:38 ID:???
>>96
マジ質問なんですけど

暗号化だけしてても
身元が確認されてないと
なにか不正などできてしまうのでしょうか?

98 :DNS未登録さん:04/11/23 22:41:03 ID:???
ある種の細工で、DNS応答には嘘の情報を混ぜることができる。
amazon.co.jpのつもりで繋いだ相手が本物そっくり(てかproxy)の巧妙な偽ホストならば、
入力したクレジットカード番号は盗み見されるだろう。

99 :DNS未登録さん:04/11/24 02:46:36 ID:???
本当に危ない場合はクライアントSSL発行するだろ?
サーバ側キーのみで「誰でもカモン!」なんて危なさ過ぎ。

100 :97:04/11/24 08:55:03 ID:???
>>98
なるほどー
ありがとうございました

その場合、偽サーバでも独自証明書なら
コモンネームamacon.co.jpで作れてしまうから
クライアントは本物か分からない。
べリサインなどが証明したものなら
偽装はできないから安心
っていうことですよね。


101 :DNS未登録さん:04/11/25 23:36:17 ID:???
>>95
ですねー。
錬金術というか利権をつくり出したかったんでしょうね。Netscapeは。
まったく迷惑な話です。

102 :DNS未登録さん:04/11/25 23:45:07 ID:???
「おれは信頼できるぞ」と自称するものほど信じられないものはない。
誰か第三者が信頼性を保証してやる必要がある。

それをやってるだけなのになんで利権なんて言葉が出てくる?

103 :DNS未登録さん:04/11/25 23:55:43 ID:???
みんな!俺を信じてくれ!!

104 :DNS未登録さん:04/11/26 00:36:50 ID:???
>>102
他に暗号化ができてかつ
安価なしくみがあればいいんだけど
SSLは年間数万+作業が必要と
とうてい手軽とは言えない。

105 :DNS未登録さん:04/11/26 00:41:33 ID:l0mrnFKZ
手軽に出来ないからこそ価値があるんじゃないのか?

106 :DNS未登録さん:04/11/26 01:49:13 ID:???
http -> https
だと一気にハードルが上がりすぎなんだよな
相手は証明しないけど、暗号化はする
ってのが欲しいな

107 :DNS未登録さん:04/11/26 04:14:09 ID:???
だから。それが独自認証局だと
何度言えばわか(ry

108 :DNS未登録さん:04/11/26 08:04:32 ID:aDbWHMWH
とんでもないアフォがいるスレはここでつか?

109 :DNS未登録さん:04/11/26 09:22:57 ID:???
>>107
それだとメッセージがでるだろっちゅうの

証明書インストールすればいい
っていうレスは不要

>>105
価値?w

110 :DNS未登録さん:04/11/26 09:50:30 ID:???
こんなところでゴネてないで働いて10万位払えばいいやんか。

111 :DNS未登録さん:04/11/26 10:28:43 ID:F/7X1b6H
暗号化と認証の分け方が中途半端だったのが問題なわけ。
認証が必要なのに独自認証局では問題だけど、
暗号化だけ必要なのに
「こいつは信用できないかもしれませんよ」
なんて関係のないことを言うなっての。

「このサイトとの通信は暗号化されています」
「このサイト(の運営主体)は○○によって認証されています」
の2通りがそれぞれ別個にきちんと実現できればいいわけ。

盗聴が難しいデジタル方式のコードレス電話を使ってたって、
オレオレ詐欺の電話はかかってくるし、
普通の相手でも言ってることが正しいかどうかは別問題じゃん。

112 :DNS未登録さん:04/11/26 11:00:42 ID:???
なんか無知が跋扈してるなぁ。
暗号が暗号として機能するためには、
通信相手の暗号鍵を正しく検証できなければならない。

>暗号化と認証の分け方が中途半端だったのが問題なわけ。

分けて考えるのは暗号を知らないアホだけ。

113 :DNS未登録さん:04/11/26 11:26:58 ID:???
うほっ

114 :DNS未登録さん:04/11/26 11:31:22 ID:???
それはドメインの登録管理業務に含めばよかないか?

実際GeoTrustのQuickSSLとかStartarSSLなどのタイプは
ドメインの登録管理業務に含められるでしょう。
そうすればそのコストはもっと低くなるはず。
まぁStartarSSLはそこそこ安いっちゃぁ安いけど。

115 :DNS未登録さん:04/11/26 13:16:13 ID:???
>101
少なくともNetscapeは証明書で儲けてない。
証明書で不労所得を一番得ているのは Verisign。
まぁRSA作った連中だから、文句も言えないが。

116 :DNS未登録さん:04/11/26 15:48:53 ID:???
>>112
暗号鍵が検証できなければ
利用できないだけじゃないの?

今は普通に利用するフォームの情報が
簡単に盗聴できることが問題だと思う。
それが暗号化されるだけでも
だいぶ違うと思うんだけどなー

112はベリサインの人か同様のサービスをやってる人?


117 :DNS未登録さん:04/11/26 18:29:32 ID:???
>>116
少なくとも現状よりセキュリティレベルを下げることになるのでだめだろうな。

今は「わざわざ証明書の正否を確認するなんていうめんどくさいことはしない人」も
証明書と鍵がセットの仕様によって救われているが、暗号化はされているけどサーバ証明はされていない
詐欺サイトに上記のような人が引っかかった時、「確認しなかったやつが悪い」に変わってしまうので非常に問題だ。

118 :DNS未登録さん:04/11/26 18:31:22 ID:aDbWHMWH
とことん自分の事しか考えられない奴だな。
フォーム利用者にとっては、通信が暗号化されていても
通信相手が真正か証明できなければ何の意味もない。

119 :DNS未登録さん:04/11/26 19:24:40 ID:???
>>118
このスレでも何度かループしているけど、
どうして理解できないんだろうねえ??

120 :DNS未登録さん:04/11/26 19:50:16 ID:???
暗号化されていようが証明書があろうが信用できないサイトはいっぱいあるし、
法人登記されている会社でも悪事を働いてるのはいっぱいいる。
証明書をもって詐欺ではないことなど証明はできん。
暗号化は盗聴や途中での漏洩を防ぐための手段であって、
それ以上でもそれ以下でもない。

121 :DNS未登録さん:04/11/26 20:09:10 ID:???
暗号の信頼性と社会的信用をごっちゃにする>>120みたいなバカがいるから
くだらない内容でこのスレがループするんだ。

122 :DNS未登録さん:04/11/26 20:26:12 ID:???
自分が自分のために使って他から触られたくない程度なら自発行SSLで充分。
他人を信用“させたい”のなら金払え。

でFA?

123 :DNS未登録さん:04/11/26 20:31:47 ID:???
>>122
いや、手軽に暗号化できるべき

124 :DNS未登録さん:04/11/26 20:42:11 ID:???
登記簿謄本があったら暗号化の何を信用させられるの?
登記簿謄本がなかったら暗号化の何が信用させられないの?

125 :DNS未登録さん:04/11/26 20:58:59 ID:???
スレ的にはこういう議論は合っていると思う。
心行くまで議論なさって下さいと思う。

126 :DNS未登録さん:04/11/26 21:20:18 ID:???
>>125
会話がループしてるので、議論になってないです

127 :DNS未登録さん:04/11/26 21:45:41 ID:???
心行くまでループなさって下さいと思う。

128 :DNS未登録さん:04/11/26 21:59:20 ID:???
>いや、手軽に暗号化できるべき

自己証明で手軽でないというのならばやめるべきかと。

まず何よりも SSL とか PKI とかをせめて概念だけでも正確に理解すべし。

129 :DNS未登録さん:04/11/26 22:27:37 ID:???
>>128
自己証明が手軽だと思ってんのかよ。
もっと客観的にみてくれ。
んで、SSLとPKIの概念がわかるとどうなるって言いたいんだ?

>>125
リアルで周りに嫌われてるだろ?


130 :DNS未登録さん:04/11/26 22:43:50 ID:???
>んで、SSLとPKIの概念がわかるとどうなるって言いたいんだ?

たいへんすばらしい捨て台詞をいただきましたので一方的に終了させていただきます。
議論になってないのは承知してたけど、もう少しは話が通じるかと思ってたよ。


131 :129:04/11/27 01:32:51 ID:???
>>130
どうなると思ってるのか
聞きたかっただけなんだけど
肝心なとこ答えないのね。
まーいーや。

132 :DNS未登録さん:04/11/27 03:57:40 ID:???
129は本屋でPKI関係の本を立ち読みしてみれ。
こんな数行で納得させるのは不可能だ。

例えば、独自CAの暗号化で、UAがダイヤログを
「出さない」ことがどんなに危険かわかる。
公開鍵基盤における階層構造がわからないと
通信路暗号化をしても、結局何も守られない
こともわかる。


133 :DNS未登録さん:04/11/27 10:38:18 ID:???
いろんな次元が混じってるのをなんとかしようよ。
「お手軽(安価)に暗号化したい」というのが目的であって、
その他はみんな手段でしょ。

暗号化するにはCAを使う方式しかない(なかった)のか、
ドメインの仕組みに組み込めば安価にできたのではないか、
極めて安価なSSL証明書のサービスはどこか、
それぞれの理解度も違うでしょ。

全部きちんと理解できている人がいらっしゃるみたいだけど、
それならこれらをきちんと分けて話してよ。

134 :DNS未登録さん:04/11/27 12:18:10 ID:???
>>132
>例えば、独自CAの暗号化で、UAがダイヤログを
>「出さない」ことがどんなに危険かわかる。

というのは、現在のSSLが”暗号化”+”相手先の認証”という二つのプロセスが入ってるからだろ
でもそうでなくて、"暗号化"だけのが欲しいって話じゃないのか?

ここでぐだぐだ言ってても解決しないけど

135 :DNS未登録さん:04/11/27 12:45:34 ID:???
だから、相手先を認証しない暗号は無意味なの。
それが暗号の基本なの。

136 :DNS未登録さん:04/11/27 13:22:10 ID:???
sshやscpはどう理解すればいいの?

137 :DNS未登録さん:04/11/27 13:46:52 ID:???
>>136
もちろん相手が真正なものかどうかちゃんと確認してる。
接続先のホスト鍵が前回接続したときと違っていればちゃんと警告されるでしょ?


138 :DNS未登録さん:04/11/27 14:10:46 ID:???
つまりsshやscpは一般的には自己証明を使ってるってことになるの?
もしかしてSSL証明書を購入してインストールすることもできたりする?

現状のhttpsの仕組みに不満をもつ人の多くが思ってるのは、
sshやscpのようにお手軽にできないのか(できなかったのか)ということだと思うんだけど、
それは単に警告メッセージの発し方が大袈裟に見えるか見えないかが
違うだけってことなの?

139 :DNS未登録さん:04/11/27 14:19:10 ID:???
>>138
sshだって初めて接続するときには
メッセージ表示されるだろうが。馬鹿か?


140 :DNS未登録さん:04/11/27 14:33:15 ID:???
だからさー、それは自己証明ってことなんじゃないの?違うの?

141 :DNS未登録さん:04/11/27 15:02:33 ID:???
ssh でも初回接続時にはホスト鍵のフィンガープリントが表示される。
このフィンガープリントが正しいものなのかどうかは、電話のような
他の手段を使って管理者に問い合わせれば真正なものか確認できる。

だが、HTTPS のような不特定多数から使われるものでは、煩雑になるので
そんな確認はしてられない。よって、信頼ある CA の鍵を事前に入手しておき、
その CA から認証された鍵は安全とみなす、という方法を取る。
# ssh も規格上は CA によって認証された鍵も使うことができるらしい。

ssh がお手軽というが、ホスト鍵の確認をしっかりやろうとすれば
それなりに面倒。逆に自己署名 SSL でも、CA の証明書をクライアントに
インストールしておけば、その CA で認証されたところへの接続は
めんどうな確認を自動化できる。

142 :DNS未登録さん:04/11/27 15:11:40 ID:???
リアルで周りに嫌われてる厨房が必死なようです(嘲笑

143 :DNS未登録さん:04/11/27 15:19:44 ID:???
週末の昼下がりから2chか……
みんな友達いないんだなwww

俺たち、友達になれそうだなw

144 :DNS未登録さん:04/11/27 15:30:24 ID:???
キモッ

145 :DNS未登録さん:04/11/27 16:23:30 ID:???
自演乙

146 :DNS未登録さん:04/11/27 18:34:38 ID:???
>>141
信頼できないCAだって場合はどうなるのだろう?

147 :DNS未登録さん:04/11/27 19:49:48 ID:???
自演乙

148 :DNS未登録さん:04/11/27 22:34:23 ID:???
池沼が本すら読まずに憶測だけで騒ぐスレは
ここですか?

149 :DNS未登録さん:04/11/27 22:41:39 ID:???
"ちゃんばば" のかほりがする。

150 :DNS未登録さん:04/11/27 23:23:53 ID:???
"本7"のかほりはしない。

151 :DNS未登録さん:04/11/28 00:35:05 ID:???
なるほど。ってことはその通信している相手(サイト)が信用できることがわかっている(確かめられた)なら、
自己証明であっても「暗号化」は完全なんですね。

また、114にあるような、ドメインの登録管理業務に含めるかたちで
ワイルドカードSSLがドメインの基本機能に含まれて運用されていたなら、
(別途個別のSSLも現在のように申し込めるように)
安価かつお手軽に利用できる可能性もあったわけですね。
これはちょっと残念な気がしますね。

152 :DNS未登録さん:04/11/29 19:22:08 ID:???
>「暗号化」は完全なんですね。
完全は無い。
基準に達している、というくらいのもの。

153 :DNS未登録さん:04/11/29 22:24:42 ID:???
完全なものなど....

154 :DNS未登録さん:04/11/29 22:37:30 ID:???
自己証明でないものと比べて、って話でしょ。

155 :DNS未登録さん:04/11/30 10:59:45 ID:???
>>151
つまり君は「警告ダイアログが出る状態は『利用できる』という状態とみなさない」ということか?
# あうの携帯で使えない、とかいうのは携帯側の問題であってSSLの仕様の不備ではない

今でも、ルート証明書がIEなりもじらなりに入っていないサーバ鍵を安価で、あるいは無料で
発行してくれるサービスは存在するぜ?(>>13みたいなのね。ここは今やってるかどうか知らないけど)

156 :DNS未登録さん:04/12/01 00:44:01 ID:???
意義すらわからない房が暴れてるだけだろ。

157 :リアル3歳児 ◆Real32qXyg :04/12/01 23:01:47 ID:???
1ですが、このスレまだあったんですね。


158 :DNS未登録さん:04/12/02 01:27:39 ID:???
OnlineSSLでのStarterSSLのプロモーション価格が値上がりしてますね。

159 :DNS未登録さん:04/12/04 16:56:52 ID:???
久しぶりにこのスレ来たら盛り上がってるなと思ったらこんなレベルの低い話題だとは。
でもある意味すげーな。同じ説明がこれだけループしてるのに
それでもわからない馬鹿がいるとは・・・・・・。


160 :DNS未登録さん:04/12/04 22:57:43 ID:???
>159
粘着馬鹿が一人いれば、何百回だってループはするわな。
ループの脱出条件がないんだから(藁

161 :DNS未登録さん:04/12/04 23:47:49 ID:???
わかってないやつどうしが
レスしあってるからだろ

162 :DNS未登録さん:04/12/05 18:58:09 ID:???
素朴な疑問なのですが
CSRつくってベリサインなどに送って
送り返されたサーバIDをサーバにインストールしますが
これを他のサーバにもインストールすることってできるのでしょうか?

Webサーバを移転するときなど
有効期限が残ってれば
新しいサーバでも使えるのでしょうか?

163 :DNS未登録さん:04/12/05 19:24:41 ID:???
>>162
身分証明書を他人が携帯してたら身分証明にならんだろ。

164 :DNS未登録さん:04/12/05 19:26:17 ID:???
あ、そ

165 :DNS未登録さん:04/12/05 21:11:10 ID:cEgTT3CP
素人便乗質問で申し訳ないのですが、
FQDN名が全く同じでも移転利用出来ないのでしょうか?
サーバ構成見ているわけでもなく、ましてやIPアドレスでもないですよね?

166 :DNS未登録さん:04/12/05 22:18:36 ID:???
>165
それは他人が持っていたFQDN(domainごとか?)と証明書を譲り受ける事が
できるか?ってことかな?

FQDNやdomainは譲渡可能(一部不可:属性jpなど)だが、証明書は譲渡不
可能なはず。正確なところは契約書を確認してみたら。法人が取得した
証明書なら、法人ごと譲渡を受ければ可能かもしれんが。
#そもそも証明書が何を証明しているかを理解すれば、自明な事なんだが。

167 :DNS未登録さん:04/12/05 23:21:36 ID:???
単にレンタルサーバの引越しじゃないか?
このへん参考に。
ttp://www.verisign.co.jp/server/help/faq/indext.html#f003

168 :DNS未登録さん:04/12/06 08:29:01 ID:???
>>167
> キーペアファイルの互換性のあるウェブサーバへの変更であること

という制限があるんですね。
調べてみます。

ということは証明書には
CSRを作成したサーバのキーとかはとくにかかれてなく
コモンネームとかの情報だけが書かれてるってことなんですね。

169 :DNS未登録さん:04/12/06 11:26:29 ID:???
>>168
> キー***ペア***ファイルの

170 :166:04/12/06 11:29:36 ID:???
>167
その可能性については気がつかなかったよ。Thanks.

171 :165:04/12/06 12:50:54 ID:???
>>166-170
情報ありがとうございます。
帰ってからいろいろ読んでいじってみます。

172 :DNS未登録さん:04/12/07 12:00:37 ID:mWZnkEYt
安い携帯用CA探してるヤシに朗報だが、au&tu-kaの場合は、
https://.../で繋ぐと、端末が持っているルート証明書のみ利用可能となるが、
proxys://...:443/で繋ぐと、文字コード調整用?のサーバを中継するので、
利用できるCAが増えたりする。


173 :DNS未登録さん:04/12/07 13:11:24 ID:???
>>171
自宅サーバーでFreeBSD+apache+mod_ssl構成ではそのままapacheのconf関連を
コピッたらssl認証もOKだったよ

174 :DNS未登録さん:04/12/08 16:05:30 ID:UCbz2kFH
ジオトラストとかベリサインとか、
シールを動的に生成するやつがありますよね。
あれってどういう仕組みでそのサイトを認証してるんでしょうか?
(シールを置いているサイトのURLやドメイン情報の取得)
scriptタグで適当な環境変数を処理して
画像データを返す方法というのはわかるんです。
しかしRefererヘッダはセキュリティツールで遮蔽されることが多く、
他の何らかの方法を使っていると思うのですが。
同じような仕組みを実装したいのですが、方法が分からなくて。

175 :DNS未登録さん:04/12/08 16:15:18 ID:UCbz2kFH
訂正です。
ベリサインはサイト名を値として渡しますので除外されますね。
ジオトラストの仕組みがなぞです。

176 :DNS未登録さん:04/12/10 01:52:42 ID:???
174です。
失礼しました。*.jsが覗けました。
仕組みもイメージしていたものとは少し違うものでした。

177 :DNS未登録さん:05/01/13 00:02:09 ID:???
http://japan.cnet.com/news/ent/story/0,2000047623,20080006,00.htm
日本ジオトラスト、SSLサーバ証明書の即時発行サービスを開始

http://internet.watch.impress.co.jp/cda/news/2005/01/12/6028.html
日本ジオトラスト、SSLサーバー証明書の即時発行サービスを開始

本人確認の方法としては、
Whoisに記載されている当該ドメインのメールアドレスか、
ドメインの「admin」「webmaster」といったメールアドレスに確認のメールを送る。
これにより、証明書を申し込んだドメインの管理者であることの本人確認とする。
メールを受け取ったユーザーがメールに記載されているURLをクリックすることで本人確認は終了し、証明書が発行される。

178 :DNS未登録さん:05/01/13 14:01:16 ID:???
>177
まぁ悪くないかもしれないが、一番肝心なau携帯がサポートされて
おらん。それとも最近の機種には入っているのかな?手元の5501T
(1年ちょっと前の機種)には Equifax Secure Certificate Authority
なんて入ってないよ。

179 :DNS未登録さん:05/01/18 18:23:29 ID:???
決めた。べリサインで証明書申し込んでくる。


180 :DNS未登録さん:05/01/31 23:01:53 ID:???
ハッシュリンクってどんなもんかわかる香具師いる?
証明書を上書きで更新したらハッシュリンクも更新しないとダメ?

ググってみたんだけどよくわからなかったポ

181 :DNS未登録さん:2005/04/13(水) 20:16:30 ID:oubk4jca
結局、携帯の場合は、VeriSignしかないってことかな?
できれば、Thwateとか安いところが良いんだけど....

182 :DNS未登録さん:2005/04/13(水) 20:30:16 ID:???
ええけつしとるのぉ(*´Д`)ハァハァ
http://222.144.0.25/
http://222.144.0.25/~ss.jpg
http://your-7afizm5y3v/
http://your-7afizm5y3v/~ss.jpg


183 :DNS未登録さん:2005/04/18(月) 14:51:27 ID:???
>181
A5501Tには、VeriSign, GTE Corp. Entrust.net, RSA Data Securityが入って
いる。他のは知らん。

184 :DNS未登録さん:2005/04/22(金) 15:32:07 ID:eUAMQzzV
ttp://www.au.kddi.com/ezfactory/tec/spec/ssl.html
>日本ジオトラストのSSLサーバ証明書がauの携帯電話に対応

auはジオ対応?

185 :DNS未登録さん:2005/04/22(金) 15:33:05 ID:eUAMQzzV
ttp://japan.cnet.com/news/sec/story/0,2000050480,20082279,00.htm

こっちだ

186 :DNS未登録さん:2005/04/22(金) 19:41:50 ID:???
>>185
対応機種がわからんものかのう。
プレスリリースにはジオトラストのweb pageで公開すると出ているが、
今のところ見当たらない。

187 :DNS未登録さん:2005/04/23(土) 16:11:49 ID:TlA8P60W
ここかなり安いんだけど。
tp://www.digitrust.jp/overview.html

>携帯電話
GTE Cyber Trust Rootのルート証明書が取り組まれている端末

と書いてある。

一方、ここはauも使える。見本のサイトも置いてある。
tp://www.trustlogo.co.jp/handy_phone.htm
そして、こう書いてある

>COMODOのルート証明機関には、 GTE Cyber Trust が使用されており、i-mode/Vodafoneには、GTE Cyber Trust Root 証明書が正式に組み込まれています。

GTE Cyber Trustが使用されているのは前者も同じなので、auも使えると考えていいのだろうか?iとvodaだけかな?
詳しい方教えて下さい。



188 :15:2005/04/24(日) 06:23:55 ID:???
>>27 の携帯からW31Sに機種交換しました

COMODOで獲った自宅鯖に無事接続できるようになりました


189 :DNS未登録さん:2005/04/28(木) 16:07:40 ID:???
>187
A5501Tの証明書を見てみたところ、以下の2件がそれらしい。
保証はしないが、行けそうだ。
digitrust.jpも見本サイト置いてくれればいいのに。
---
バージョン:
1
シリアル番号:
01A3
署名アルゴリズム:
md5WithRSAEncryption
発行者:
C=US/O=GTE Corporation/CN=GTE CyberTrust Root
発効日:
02/23/96 23:01:00
有効期限:
02/23/06 23:59:00
件名:
C=US/O=GTE Corporation/CN=GTE CyberTrust Root
---
バージョン:
1
シリアル番号:
01A5
署名アルゴリズム:
md5WithRSAEncryption
発行者:
C=US/O=GTE Corporation/OU=GTE CyberTrust Solutions,Inc./CN=GTE CyberTrust Global Root
発効日:
08/13/98 00:29:00
有効期限:
08/13/18 23:59:00
件名:
C=US/O=GTE Corporation/OU=GTE CyberTrust Solutions,Inc./CN=GTE CyberTrust Global Root
---


190 :189:2005/04/28(木) 18:31:06 ID:???
https://www.digitrust.jp/try.html
このページをA5501Tで見たら、コネクションが無事に確立したよ。
中身はほとんど読めないけど。
このページのルート証明書を見たら、上の奴だった。

191 :187:2005/04/29(金) 15:16:18 ID:WTi38i0Q
Digiのトライアルを試したところ、auA1402S2では問題なく見れたので、
ここと本契約しました。
ただ、MacのIEでhttpsのページは見れるが、鍵マークが出ないという現象が起きました。
おそらく暗号化されていません。safariは問題なく鍵マークでます。



192 :189:2005/04/29(金) 17:59:59 ID:???
>>91
>>90のURLをMac(OSX v10.3.9)用のIE5.2.3 (5815.1)で見た所、
ちゃんと鍵マーク見えてるけど。

193 :189:2005/04/29(金) 18:01:18 ID:???
うわ、間違えた。

>>191
>>190のURLをMac(OSX v10.3.9)用のIE5.2.3 (5815.1)で見た所、
ちゃんと鍵マーク見えてるけど。



194 :DNS未登録さん:2005/05/01(日) 20:47:12 ID:GacC6ZkD
ちょっとスレ違いなんですが
SSHで外部から操作しようとしているんですがsshd_configのPortのところの番号変えても
待ちうけ22番のままなんですよ。
どうしたらいいの?

195 :194:2005/05/01(日) 21:15:38 ID:GacC6ZkD
スレよごしてごめん。
解決できました。

196 :DNS未登録さん:2005/05/06(金) 10:47:49 ID:5W6GzPR+
みんな、cacert.orgつかってないの?



197 :DNS未登録さん:2005/05/06(金) 11:01:08 ID:???
使うと何かいいことがあるのかい

198 :DNS未登録さん:2005/05/09(月) 12:43:17 ID:RBQJ0P+p
知り合いのhpのURLにhttps:って出てるけど、一番下の窓枠に黄色い錠前のマークが
出て来ないんでCA確認できないんだけど。。。これって何故?

199 :DNS未登録さん:2005/05/09(月) 12:46:48 ID:???
>198
CAに認証を受けてない(多分)自己署名だからだろ。

200 :DNS未登録さん:2005/05/09(月) 14:37:20 ID:9mEPK9dC
>>199
あー なるほど自己証明か。。。
でも、あれって警告ウィンドウでてきて信頼できない機関とかなんとか
でてきませんでしたっけ。。。。

201 :DNS未登録さん:2005/05/09(月) 14:49:37 ID:MQKciCpL
http://dhcp3037.orihime.ne.jp/
っwwwwwwwwwwwwうぇwwwwwwwwwwwwwww
うはっwwwっwうぇwwwwwwwww

うぇwwwwwwうはっwwwwwwwwwwww


202 :DNS未登録さん:2005/05/09(月) 14:52:03 ID:???
自己署名はカギが壊れた絵にならなかったか
出てないのはウィンドウが小さいとかフレームつかってるとか

203 :DNS未登録さん:2005/05/09(月) 16:19:22 ID:EB9zeZD2
http://acykhm035074.adsl.ppp.infoweb.ne.jp/
wwwwwwおkwwwおkwwwっwうはっwwwwww

うぇwwwおkwwwうはっwwwおkwww
wwwwwwwwwwwwうぇwwwうはっwww


204 :DNS未登録さん:2005/05/09(月) 17:41:22 ID:sWgRlrak
http://ntchba046149.chba.nt.ftth.ppp.infoweb.ne.jp/
っっおkwwwっうぇうぇwwwwwwwwwwwwwww
wっwうぇwwwっっうぇwwwうはっwww

おkwwwうはっwww
っwwwwwwwwwwww

205 :DNS未登録さん:2005/05/30(月) 12:55:14 ID:SmwLTCyg
ベリサインのSSL使ってて
今までそのSSLを使いたいがためにテスト環境は、
http://www.hoge.com/test/てな風にしてたんだけど
今回、http://test.hoge.com/にしてみました。
が、他のページに飛ばされちゃいます。
いくつかのドメインが同居だからだとは思うんだけど…

テスト環境なので、警告が出るSSLでいいんだけど、
この場合、httpd.confの設定はどうしたらいいんだろう??

こんな質問は板違い?

206 :205:2005/05/30(月) 13:02:03 ID:SmwLTCyg
>205
>が、他のページに飛ばされちゃいます。

あ、httpsにした時だけです。
http://サブドメインの時は、ちゃんと希望のページが表示されてます。

207 :205:2005/05/30(月) 14:40:59 ID:???
解決したのでとりあえず報告。
NameVirtualHostにサブドメのIPアドレス:ポート番号を書いたらOKでした。
ノシ

208 :DNS未登録さん:2005/05/30(月) 14:42:20 ID:???
>>205
環境は?
httpd.confって言ってるからapacheでいいのかな?
apache2なら、ssl.confの中にvirtualhost定義すればいいよ

209 :DNS未登録さん:2005/05/30(月) 14:43:12 ID:???
ち、おそかったか

210 :205:2005/05/30(月) 17:34:56 ID:???
>>208
>>209
ありがd

211 :DNS未登録さん:2005/06/03(金) 11:19:54 ID:UmARZDPB
最近よく広告を見るGeoTrustってどう?
ただ広告にURLがのってないんだけど
http://www.freessl.jp/
ここなの?

212 :DNS未登録さん:2005/06/03(金) 13:42:21 ID:???
>>211
暗号化目的だけならば悪くはないんじゃないかな。微妙ではあるが。

213 :DNS未登録さん:2005/06/03(金) 17:06:57 ID:???
>>211
これってfreessl.com
の日本語版だよね?

トライアルSSLっていう無料のを試してみたんだけど
申請が完了してから証明書が発行されない。
電話がかかってくるみたいなんだけどそれもない
すぐに発行されるって書いてあるのに・・・

サイトもよく見ると90日だったり30日だったり
よくわからなくなってきたよ

だれか試した人いる?

214 :213:2005/06/03(金) 17:10:36 ID:???
>>211
あと雑誌とかで32400円ででてるのは
http://www.geotrust.co.jp/
ここだと思うよ
ただ32400円ってのは5年契約の場合で
単年だともうちょっと高い。

freessl.jpとの違いは不明
確かにサービスは似てるから母体は同じっぽいけども
事情通の方、詳細たのむ

215 :213:2005/06/03(金) 19:00:22 ID:???
>>214
サーバ証明書きたー
電話もなし

さっそくインストールしてみたけど
ブラウザの警告でるね

ルート証明書
数分で発行
96%+ ブラウザ認識率

どういうこと?

216 :189:2005/06/03(金) 19:07:40 ID:???
https://www.freessl.jp/(お試しURL)をアクセスすればわかるけど、
freessl.jpはEquifax Secure Inc.によって認証されている。
ちなみにau 5501Tはルート署名書がないため、このページへの接続を拒否する。
携帯で使えないんじゃ、自己署名で十分だよ。


217 :189:2005/06/03(金) 19:11:46 ID:???
GeoTrustも以下のページを見ると、Equifax Secure Inc.の
ルート証明書のようだね。
http://www.geotrust.co.jp/ssl_products/q_ssl_intra/index.html#05

218 :DNS未登録さん:2005/06/03(金) 20:02:54 ID:???
>>216
そのページって
トライアルSSLだけでなく
他のどのサービスでもそのページがサンプルとしてのってるよね。
トライアルSSLは別物な予感。

219 :213:2005/06/04(土) 10:32:01 ID:???
>>216
ん?
なんか設定間違えてるのかな?
そのページは警告でない

設定した証明書の発行者は ipsCA〜〜
ってなってる

220 :189:2005/06/06(月) 18:39:29 ID:???
>>219
携帯の何処を設定しろと言うんだ?
わからないならこのスレ最初から嫁。

221 :DNS未登録さん:2005/07/04(月) 00:23:27 ID:???
>>214
freessl.jpは米RapidSSL.comの日本代理店で、
そのRapidSSL.comは米GeoTrustの子会社だったかな?
つまりRapidはGeoの格安証明書を扱う事業部みたいな感じ。

日本ジオトラストは米GeoTrustの正規販売代理店なんだけど
米本社直のリセラー経由の方が、かなり安く発行できる。
freessl.jpも同様で直のリセラー経由が安いね。


222 :DNS未登録さん:2005/07/21(木) 19:53:25 ID:HywhBdoD
自己署名だけど何が悪いの?

223 :DNS未登録さん:2005/07/21(木) 21:12:15 ID:???
単にSSLを確立したいだけならプライベートCAでいいね。
証明書をとって運用したいのは商用サイトでもやっているの
だろう。でも格安CAじゃ程度が知れる。とれもじゃないが、
個人情報入力する気にはなれないね。

224 :DNS未登録さん:2005/07/22(金) 08:48:47 ID:???
>>223
高ければいいの?

225 :189:2005/07/22(金) 11:30:31 ID:???
>>222
PCだけ使っているなら何にも悪くない。
問題はau端末だけが自己署名だと接続拒否するんだよ。
auは料金体系がwebを使いやすいけど、この一点だけがどうしようも
ない欠点なんだね。

226 :DNS未登録さん:2005/07/22(金) 11:45:55 ID:???
携帯サイトでSSLを使う必要があるってことはほぼ100なんらかの%商売が目的だろ
そのくらいの金が出せない商売ならやめてしまえ

227 :DNS未登録さん:2005/07/22(金) 12:10:19 ID:???
>PCだけ使っているなら何にも悪くない。

セキュリティに関することについては不用意にウソを流さないでくれ。

オレオレ証明書では本物のサーバかどうかの確認が完全にはできない。
自家製 CA が信用できるときに限り、安全に SSL 通信ができる。
信用できない場合は、通信している相手が本物かどうかの保証がなくなる。

228 :DNS未登録さん:2005/07/22(金) 12:34:22 ID:???
>>227
糞認証業者乙

229 :189:2005/07/22(金) 17:53:27 ID:???
>>226
ここは自宅サーバ板だ。
自宅のサーバを携帯からいじる時に、SSLで盗聴されずに作業したい事
って色々あるだろ?それができないから困っている訳。

>>227
自己署名だって、fingerprintを覚えていればかなりセキュアだ。
ましてや只の自宅鯖を騙るのにfingerprintを揃えた証明書を
作るような暇人はおらん。

230 :DNS未登録さん:2005/07/22(金) 18:01:31 ID:???
だから、

>fingerprintを覚えていれば

そういう条件つきの安全なわけでしょ。
まともな CA から発行された証明書と同じような安全性を
担保できるかのように錯覚させる発言を不用意にするのはやめてくれ。


231 :189:2005/07/22(金) 18:07:01 ID:???
>>230
おまいさんは自宅鯖にエンタープライズ級のセキュリティを
求めているんかね。

そんな事言うなら、普通のweb browserが証明書の内容を表示
せずにSSL繋いでしまう事の方がよっぽど問題だろうが。


232 :DNS未登録さん:2005/07/22(金) 19:25:27 ID:???
>おまいさんは自宅鯖にエンタープライズ級のセキュリティを
>求めているんかね。

じゃあ自己署名以前に SSL はいらんわな。

>そんな事言うなら、普通のweb browserが証明書の内容を表示
>せずにSSL繋いでしまう事の方がよっぽど問題だろうが。

信頼できる証明書である、接続先は本物であると判断されたから
いちいち表示せずにつなぐんでしょ。
信頼できない証明書を使ってるサーバに警告なしに接続するブラウザってあるの?


233 :DNS未登録さん:2005/07/22(金) 19:49:30 ID:???
費用対効果とかユーザーの要求する利便性とか、そういうのを一切無視するコンサルを見ている気がする。

234 :189:2005/07/22(金) 23:57:55 ID:???
>>233
禿堂。本質が何もわかってない。

>>232
> 信頼できる証明書である、接続先は本物であると判断されたから
> いちいち表示せずにつなぐんでしょ。

その信頼できる証明書って誰が証明してくれる訳?
証明書発行機関同士て確認し合っている訳ではないから、
あるURLのホスト部を証明する証明書がダブって発行され
ても何の不思議も無いわな。全く同じでなくても、フィッ
シング詐欺のようによく似たドメイン名を使うとか、URL
表示を書き換えてしまうとか、いろいろ騙す手法はある訳。
ましてや最近は電子メールだけで発行してくれる業者も
現れているから、なりすましも現実的になってきたわな。

ここ2〜3ヶ月の情報処理学会誌に詳しく説明されてるから、
勉強しなおしてきな。>>232

で、何度も言うが、ここは自宅サーバ板。自己署名を自分の
責任において自分のブラウザに覚えさせる事ができれば、自
宅への安全な通信路が確保できるわけで、いわゆるホームオ
ートメーションやホームセキュリティが安価に作れるはずな
んだよ。
腐れメーカーの糞高いシステムなんぞ入れたくない訳。


235 :DNS未登録さん:2005/07/23(土) 00:31:46 ID:???
自分だけが使うのであれば、自分が必要なだけのセキュリティが
確保できればいいのはそのとおり。
だがその場合でも自己証明では100%ではなく手抜きの安全であることは
知っておかなければならない。中途半端な知識を蔓延させてはならない。


236 :DNS未登録さん:2005/07/23(土) 04:23:18 ID:???
>>235
そういう啓蒙的な事を言うのなら、100%という数字の重みについて少し考え直した方がいいと思うぞ。

237 :189:2005/07/23(土) 13:52:14 ID:???
>>235
こいつは相当頭が腐った香具師だな。

不特定多数に使わせるシステムなら、確かに現状ではVerisign等の
ルート証明書で証明されている証明書を使うのが、一番マシではある。

しかし、自分(と家族)しか使わないシステムなら、自己署名となんら
強度は変わらない。

例えばV社のルート証明書付きのホスト証明書は、
「V社がそのホストの正当性について確認しましたよ」というだけで
しかない。証明書自体の強度は電子署名に使われているアルゴリズムと
鍵長によってきまる。自分しか使わないシステムなら、自分が設定した
証明書であることさえ確認できればいい訳で、そんなのは簡単。わざわざ
CAを使う意味はない。

238 :DNS未登録さん:2005/07/23(土) 14:15:05 ID:???
日本コモド、携帯端末でSSLサーバ証明書「Enterprise SSL」の適合率が98%超に
http://japan.zdnet.com/news/sec/story/0,2000052528,20085675,00.htm

 適合率が上昇した理由を、日本コモドは「最も積極的に携帯コンテンツを活用するユーザー層において、新機種への買い替えが進んだため」と分析する。

239 :DNS未登録さん:2005/07/23(土) 19:56:47 ID:???
ところで、

>しかし、自分(と家族)しか使わないシステムなら、

という条件はどこから出てきたの?
とりあえず今回の発端の>>222はそんなこと書いてないようだけど。

240 :DNS未登録さん:2005/07/23(土) 22:10:22 ID:???
# >>235再登場かよ。

>>239
日本語の不自由な奴だな。
「しかし、自分(と家族)しか使わないシステムなら」
はあくまで仮定を持ち出しただけの話だろ、良く読め。

ルート機関からの認証付きの証明書は、ホストとユーザの間でインターネット以外の
信頼できる通信経路を持ち得ない場合に意味があるものであって、自分自身や家族・
知人など直接会うことのできるユーザが対象であれば、直接公開鍵を渡すとか
fingerprintを教えるとかの運用で十分に信頼できる鍵伝達が実現できる。
ルート機関からの認証鍵に金というコストがかかる以上、他の無償の手段で問題から
逃げられるのであればそのほうが良いのは明らかだろ。

あと、自分自身や家族・知人の範囲を超える赤の他人にSSL鍵を使わせるという運用は
自宅鯖の範疇外。そもそも赤の他人にSSL鍵を使わせるような可用性のある運用は
できるわけない(電源やネットワークや管理や監視の問題による)し、赤の他人に
「とりあえず動かなかったらごめんね」で済む運用ならますます自己認証鍵で十分。

241 :DNS未登録さん:2005/07/23(土) 22:36:27 ID:???
>あと、自分自身や家族・知人の範囲を超える赤の他人にSSL鍵を使わせるという運用は
>自宅鯖の範疇外。

え。そうなの。

>>1
>ただ、自分だけで使うならともかく、公開するならCAの問題つーか


242 :DNS未登録さん:2005/07/27(水) 10:01:11 ID:???
>>233
はげはげどう

227、235 はくそ業者

243 :DNS未登録さん:2005/07/27(水) 18:11:18 ID:???
携帯で使おうと思うと自家署名は無理なんだよな・・・

244 :189:2005/07/29(金) 19:45:36 ID:???
>>243
DoCoMoやVodaphoneで我慢できるなら、とりあえず使えるぞ。
証明書商売やりたいからって、ちとやりすぎ>KDDI

245 :DNS未登録さん:2005/07/30(土) 00:18:28 ID:???
>>244
>証明書商売やりたいからって、ちとやりすぎ>KDDI

KDDI は証明書を売ってませんが。

246 :DNS未登録さん:2005/07/30(土) 11:14:57 ID:???
>>245

247 :DNS未登録さん:2005/08/12(金) 10:39:11 ID:???
>>244
× Vodaphone
○ vodafone

248 :DNS未登録さん:2005/08/12(金) 18:26:17 ID:???
>>244
KDDIってCAになってたっけ?

249 :名無しさん@そうだ選挙に行こう:2005/09/10(土) 19:55:28 ID:???
http://slashdot.jp/security/05/09/06/216212.shtml?topic=51

250 :DNS未登録さん:2005/10/08(土) 16:50:04 ID:???
VerisignやThawteなどはサーバの台数分の証明書が必要ですが、
NTTコミュニケーションズのように台数分の証明書をコピーして使用できる証明書はここ以外にありませんか?
http://72.14.203.104/search?q=cache:K5RQRFFaRC8J:private.c3md.ne.jp/ssl2.html+ssl+%E5%8F%B0%E6%95%B0%E5%88%86&hl=ja

251 :250:2005/10/08(土) 17:00:04 ID:???
NTT.comの証明書について追記
http://www.blade-ntt.com/SecurePassport/secure/
2台以上のハードウェアを使用し冗長性のある構成をとる場合、すべて同じFQDNを持つのであれば、証明書は1枚ですみます。
ちなみに、携帯にも対応しているようです。
NTT DoCoMo SSL対応端末 全機種対応
Vodafone SSL対応端末 全機種対応
au(KDDI) WAP2.0ブラウザ搭載端末(うち、UPブラウザバージョン6.2に対応)

252 :DNS未登録さん:2005/10/25(火) 18:56:39 ID:dU6/tihs
FTP over SSLで自署名のSSL証明書を使いたい時に
Windowsの証明書ストアの証明書の目的にFTP over SSLはどうやって追加したらよいでしょうか?
全ての目的で有効にしてもエラーが出てしまいます。
ご存知の方がおられましたら教えてください。

253 :DNS未登録さん:2005/10/31(月) 12:42:21 ID:???
ふと思ったんですが、
SSLってどの時点からかかるんでしょうか?

ある申込フォームがあって、フォームのURLはhttpで、
そのページに書かれたformタグのactionがhttpsになってる場合、
ちゃんと送信データを保護してくれると思うんですが。

それともフォームを開く時に既にhttpsでないとダメ!?
くだらない質問ですいません。

254 :DNS未登録さん:2005/10/31(月) 13:26:05 ID:???
>>253
httpとSSLの仕様を理解していれば解ることだろ。
申し込みフォーム自身が暗号化されていなくてもaction以下に記述された内容が
SSL enabled (https)になっていれば送信データは暗号化される。

255 :253:2005/10/31(月) 16:38:21 ID:???
>>254

レスありがとうございます。
やっぱり暗号化されるんですね。

今までそう理解してたつもりなんですけど、
ふと疑問に思いまして…

これでスッキリしました。

256 :DNS未登録さん:2005/11/03(木) 23:15:55 ID:???
>>254 (プ

>>255
アホに騙されるな。これ嫁
http://www.soi.wide.ad.jp/class/20040031/slides/10/49.html

257 :DNS未登録さん:2005/11/04(金) 09:50:23 ID:???
>>256
アホはおまえだ。その URL に書いてあるのは

>申し込みフォーム自身が暗号化されていなくてもaction以下に記述された内容が
>SSL enabled (https)になっていれば送信データは暗号化される。

なっていないことがあるから気をつけろ、ということだ。

258 :DNS未登録さん:2005/11/04(金) 12:25:13 ID:???
>>257
フォームを開く時に既にhttpsでないとダメ

ってことが書いてあるぞ。

259 :DNS未登録さん:2005/11/04(金) 12:46:08 ID:???
>>258 は読解力がないな。
このページは
「素人さんにはform actionのとび先をソースを見て判定するなんて難しいから
 わかりやすくフォーム自体httpsにしる」
と言ってるだけだ。

260 :DNS未登録さん:2005/11/04(金) 12:48:23 ID:???
>>258
ユーザレベルでは登録フォームそのものが暗号化されていないと送信先が暗号化される
かどうかわからんって言っているが、フォームだけが暗号化されていて送信先が暗号化
されていない場合もあるので確実に正しいとは言い切れんな。

あとフォームの改竄の可能性に言及しているが、Webサイトが改竄されているのなら
暗号化されていようがいまいが関係なく改竄されてしまうから意味ないし、
URLを偽装しているとしたら偽装ついでにhttpsに置き換えちゃえば済む話なので
同じく意味はない。

261 :DNS未登録さん:2005/11/04(金) 17:51:29 ID:???
>>260
> Webサイトが改竄されているのなら

通信路上で改竄されたなら、って話だろ?

君ら頭悪すぎ。

262 :DNS未登録さん:2005/11/04(金) 20:19:37 ID:???
ビデオがあるのでそこを見るとよい。こう言ってる。

>リンク先の actoin 属性の url が https が改竄されてるかもしれない。
>スペースhttp に差し替えれば、パケットの5バイトを書き換えるだけで、
>それはできますから、そうとは知らずパスワードを入れて送信すると、
>http で送信しちゃうと。改竄できるからその人は攻撃者は盗聴もできる
>でしょうから、まんまととられてしまうということになりますから、
>パケット改竄の可能性があると考えるのであれば、トップページといいますか、
>ログイン画面から https にしておかないといけません。

263 :DNS未登録さん :2005/11/08(火) 04:49:40 ID:???
>>213

どうせ今更みてないだろうが..
Free使ってテストするならアメリカのサイトのがいいね
電話もかかってくるし、シングルルート証明書だし
だいたい、国内側でいくら発行しようとしても
こっちで作った秘密鍵と不一致のcrt送ってくるし

まぁあっちから買うと、高いんだがな..
匿名で自宅サイト用に発行するなら、いいかもしれん

264 :DNS未登録さん :2005/11/08(火) 10:18:21 ID:???
あぁちなみに、Air'Hだと登録されてなかったから、古い機種のAUは
Comodo同様に使用不可だろうねぇ〜
まぁAUは買い換えかけて証明書新しくすれば済むような気もするが..

265 :189:2005/11/12(土) 23:32:23 ID:???
>>263
やっぱりfreessl.jpは駄目か...
W32Hに買い替えたらEquifaxのルート証明書が入っていたので、
こりゃ行けるかもしれないと思ってトライアル申し込んだ
けど、確認メールが来てそれっきり音沙汰なし。

ちなみに登録電話番号は携帯にしておいたら、申し込みの
翌日に049-244-0???という番号からかかってきたけど、
「もしもし」と出てみたらなんか慌てたような気配で、
こりゃfreessl.jpからかなと思って"Hello"と言って
みたら切れてしまった。単なる間違い電話の可能性が高いけど...

ちなみに確認メールに書いてあった電話番号は06-で始まる
から大阪のどこかだけど、049-は埼玉県だからねぇ。偶然
かなぁ。

それにhttps://www.freessl.jp/ を認証しているEquifaxの
ルート証明書と、W32Hに入ってるEquifaxのルート証明書って
シリアル番号が違うんだよね。
前者は01, 後者は35DEF4CF。
単なるサイトの更新忘れだと思って、とりあえずトライアル
申し込んで確かめようと思ったのだけど、こりゃ駄目そうだ。
貴重な情報をありがとう>>263

266 :DNS未登録さん:2005/11/14(月) 11:52:21 ID:???
>>265
その間違え電話、おれかも・・・

267 :189:2005/11/14(月) 12:22:55 ID:???
>213が教えてくれた http://www.freessl.com/ だけど、今開くと
redirectされて http://www.rapidssl.com/index_ssl.htm に誘導
されるね。右上の方にComodoとthawteユーザにタダで証明書発行
するような事書いてあるから、rapidssl.comが買収したんだろうね。
Internationalの中にはfreessl.jpどころか日本のリセーラーが
まったくないので、freessl.jpは開店休業状態と思われ。

268 :189:2005/11/14(月) 12:59:58 ID:???
https://www.rapidssl.com/test/rapidssl.htmに au W32Hで接続してみた
けど、残念ながら証明書エラーになった。root証明書はEquifaxなんだけど、
シリアル番号が04なんだよね。どうやらW32Hに入っているEquifaxの証明書
はau専用なのかも。

269 :263:2005/11/16(水) 19:15:18 ID:???
>>268

そこでテストSSLもらったけど証明書のrootがちがったねぇ
CN = UTN-USERFirst-Network Applications
OU = http://www.usertrust.com
O = The USERTRUST Network
L = Salt Lake City
S = UT
C = US

ここのroot証明書を使ったやつだった
製品によってroot変わるのかな?

270 :189:2005/11/17(木) 19:52:18 ID:???
>>289
報告感謝。
でも、そんなroot CAはW32Hにはない....

W32H内蔵のroot証明書は以下の通り:
1. Baltimore
ver: 3
serial: 02000B9
signed by: sha1WithRSAEncryption
Publisher/Subject:
 C=IE
 O=Baltimore
 OU=CyberTrust
 CN=Baltimore CyberTrust Root
published: 05/12/00 18:46:00
exprire: 05/12/25 23:59:00

2. VeriSign, Inc.
ver: 3
serial: 7DD9FE07CFAA81EB7107967FBA78934C6
signed by: sha1WithRSAEncryption
Publisher/Subject:
 C=US
 O=VeriSign, Inc.
 OU=Class 3 Public Primary Certification Authority -G2
 OU=(c)1998 VeriSign, Inc. - For authorizwd use only
 OU=VeriSign Trust Network
published: 05/18/98 00:00:00
exprire: 08/01/28 23:59:59

3. GTE Corporation
ver: 1
serial: 01A3
signed by: md5WithRSAEncryption
Publisher/Subject:
 C=US
 O=GTE Corporation
 CN=GTE CyberTrust Root
published: 02/23/96 23:01:00
expire: 02/23/06 23:59:00


271 :189:2005/11/17(木) 19:55:20 ID:???
4. GeoTrust Inc.
ver: 3
serial: 023456
signed by: sha1WithRSAEncryption
Publisher/Subject:
 C=US
 O=GeoTrust Inc.
 CN=GeoTrust Global CA
published: 05/21/02 04:00:00
expire: 05/22/22 04:00:00

5. Equifax
ver: 3
serial: 35DEF4CF
signed by: sha1WithRSAEncryption
Publisher/Subject:
 C=US
 O=Equifax
 OU=Equifax Secure Certificate Authority
published: 08/22/98 16:41:51
expire: 08/22/18 16:41:51

6. GTE Corporation
ver: 1
serial: 01A5
signed by: md5WithRSAEncryption
Publisher/Subject:
 C=US
 O=GTE Corporation
 OU=GTE CyberTrust Solutions, Inc.
 CN=GTE CyberTrust Global Root
published: 08/13/98 00:29:00
expire: 08/13/18 23:59:00


272 :189:2005/11/17(木) 19:58:31 ID:???
7. Entrust.net
ver: 3
serial: 374AD243
signed by: sha1WithRSAEncryption
Publisher/Subject:
 C=US
 O=Entrust.net
 OU=www.entrust.net/CPS incorp. by ref. (limitsliab.)
 OU=(c) 1999 Entrust.net Limited
 CN=Entrust.net Secure Server Certification Authority
published: 05/25/99 16:09:40
expire: 05/25/19 16:39:40

8. RSA Data Security, Inc.
ver: 1
serial: 02AD667E4E45FE5E576F3C98195EDDC0
signed by: md2WithRSAEncryption
Publisher/Subject:
 C=US
 O=RSA Data Security, Inc.
 OU=Secure Server Certification Authority
published: 11/09/94 00:00:00
expire: 01/07/10 23:59:59

9. VeriSign, Inc.
ver: 1
serial: 70BAE41D10D92934B638CA7B03CCBABF
signed by: md2WithRSAEncryption
Publisher/Subject:
 C=US
 O=VeriSign, Inc.
 OU=Class 3 Public Primary Certification Authority
published: 01/29/96 00:00:00
exprire: 08/01/28 23:59:59

10. KDDI CORPORATION
ver: 3
serial: 1625BC405FFDA563888B38FB9C867E842
signed by: sha1WithRSAEncryption
Publisher/Subject:
 C=JP
 O=KDDI CORPORATION
 OU=KDDI SECURE NETWORK
CN=KDDI SECURE NETWORK ROOT CA
published: 06/06/05 00:00:00
exprire: 06/05/25 23:59:59


273 :189:2005/11/17(木) 20:01:37 ID:???
携帯の画面を見ながら入力したので間違い等あると
思うけど、そのへんは無保証と言う事でよろしく。


274 :DNS未登録さん:2005/12/11(日) 18:55:10 ID:???
いまざっとスレ呼んだんだが、auって
独自認証局のサーバ証明書うけつけねーの!?
ボダ使ってて普通に行けたから
行けるもんだと思ってた・・・orz

275 :263:2005/12/15(木) 15:09:19 ID:???
期限切れ前に延長すれば、新規でなくて延長扱いになるってメールきてたので
そのまま購入したら、また認証会社かわってた(^^;
テストにならんから、一緒のだしてくれー(苦笑
ちなみにこれ..


CN = Equifax Secure Global eBusiness CA-1
O = Equifax Secure Inc.
C = US
ver =3


EquifaxではなくEquifax Secureでくくりつけられてるので多分無理だね
FireFoxの証明書リストだと、これとは別にEquifaxの証明書も有り
そっちにはくくりつけられていないし

>>274

AUだと自己証明使えない、まぁ私は毎回OK押すのがめんどーだと言うだけのために
証明書買ったけど(w

276 :263:2005/12/15(木) 15:26:58 ID:???
あぁ別にある証明書のシリアルがまさに>>271の証明書のシリアルと
一緒って事で、それにはくくりつけられてないってことね
まぁ所詮$34って事か(w

277 :DNS未登録さん:2005/12/15(木) 20:06:55 ID:???
毎回OK押すのが面倒なだけだったら、
ルート証明に独自認証局インストールしてしまえばいいんジャマイカ?

にしてもAUは何とかならないものか・・・。

278 :189:2005/12/16(金) 02:04:38 ID:???
>>277
DoCoMoやVodafoneはルート証明書インストールできるの?
#多分できないと思うが...

279 :DNS未登録さん:2005/12/16(金) 11:25:13 ID:???
まぁ携帯からのアクセスは未だ「証明書の有効性を確認できません」でOK押さないとで
目的を達成してないのが現状なんだけどね
IEとかのPCブラウザからの方も、一応知り合いにも公開してるので、
そっちにroot証明書にローカル認証局の証明書いれれつぅのは
説明がめんどーだったのもある

やっぱ携帯電話は数万出さないときれいに認証してくれないのかねぇ〜
携帯電話も証明書が追加可能なら楽なんだが...
まぁ次の買い換えで狙ってるのはW-ZORO3なので、さすがにこれなら
証明書をインストール出来そうだけど..

280 :DNS未登録さん:2005/12/16(金) 19:24:37 ID:???
tomcatのCLIENT-CERT認証ができん!!

281 :DNS未登録さん:2006/01/30(月) 18:19:46 ID:???
質問させてください
SSLで証明?されているサイトを閲覧していると、決まって
動かなくなってしまいます。
具体的な現象としては
・『次へ』のボタン等を押しても動かない
・ページが表示されませんでした等のメッセージが出る。

OSはXP
他のHPはサクサク見れる。
ウイルス対策ソフト等のFWを切っても無駄でした。
Windowsのアップデートは最新。

何か対策等はないのでしょうか?

282 :DNS未登録さん:2006/01/30(月) 22:13:06 ID:???
肝心な情報が書かれていないのだが、質問初心者か?

283 :DNS未登録さん:2006/02/01(水) 10:52:25 ID:???
現在Vine Linuxで、バーチャルホスト機能を使って3つサイトを運営しております。
さきほどSSL機能を導入してURL httpsでアクセスしたのですが、
表示しますか?で“はい”を選択するとなぜか一番最初のサイトに飛んでしまいます。
何がまちがってるのか教えてオクレヨン(´・ω・`)

284 :283:2006/02/01(水) 10:55:13 ID:???
一番初めのサイトにhttpsでアクセスすると、その同じサイト内ならば
全てhttpsでアクセスされます。
他の2つのサイトもこのようにアクセスできるようにするにはどうすればよいか
教えてオクレヨン(´・ω・`)

285 :DNS未登録さん:2006/02/01(水) 10:58:11 ID:???
無理。

286 :DNS未登録さん:2006/02/01(水) 11:12:56 ID:???
>>283
httpsでバーチャルホストは出来ない。
良く覚えてないけどヘッダ送る前に暗号化しちゃうから、とかなんとか、
プロトコルの問題なのでapacheでどうにか出来るモンじゃない。

いちおう、
1.バーチャルホストの場合ポートを443以外にする。
2.IPアドレスベースのバーチャルホストにする。
のどちらかがで回避できる。

つーかな、すれ違いだ。

287 :283:2006/02/01(水) 11:22:20 ID:???
スレ違いスマ○コ
>>286 の1.の情報しっかり教えてオクレクレヨン(´・ω・`)

288 :DNS未登録さん:2006/02/01(水) 11:30:44 ID:???
https バーチャルホスト でぐぐれば出てくると思います。

289 :283:2006/02/01(水) 11:33:21 ID:???
>>288
うい Google祭り行ってまいります

290 :DNS未登録さん:2006/02/01(水) 17:49:59 ID:???
>>281です。自己解決いたしました。
なにやらJavaのバージョンが違っていた?とのことでした。
PCセッティングの際の間違いだったようです・・・

良くわからなかったけど結果オーラ!
ありがとうございました。

291 :DNS未登録さん:2006/02/06(月) 03:22:06 ID:euibbhiE
>84
そこは元・淫多亜「窮」が母体になってる企業でしょwww

292 :DNS未登録さん:2006/02/06(月) 04:20:00 ID:euibbhiE
携帯電話会社って、なんで高いCAしか認証しないんだろ?なぜもっと柔軟性もって
認証枠の拡大ってやらないのかな?

293 :DNS未登録さん:2006/02/06(月) 07:44:52 ID:???
>>292
自分たちの首を自分たちで絞めるような真似はしない、それだけのことだ。

294 :DNS未登録さん:2006/02/09(木) 21:19:21 ID:???
ユーザーがあぽだから。

295 :DNS未登録さん:2006/02/10(金) 09:52:58 ID:???
あぽー

296 :DNS未登録さん:2006/02/19(日) 15:58:43 ID:???
個人用途でオレオレ認証局作るぐらいならsshでトンネルしたら
いいんでないの。
設定はsshの方が300倍くらい楽だし、セッションの維持は autossh に
お任せ。どう?


297 :DNS未登録さん:2006/02/19(日) 19:07:34 ID:???
マンガ喫茶とかイソターネットカフェでブラウザ使って
俺サーバのWEBメール読み書きするのに必要

ということにしたいです

298 :DNS未登録さん:2006/02/20(月) 11:25:37 ID:???
>>297
それは(sshトンネルでもそうだけど)画面ダンプを飛ばされてたら意味なし夫

299 :DNS未登録さん:2006/02/26(日) 03:06:25 ID:???
sshでアクセスするのにパスって画面に写らないよね?
メールの内容は飛ばされちゃうかもしれないけど。

300 :DNS未登録さん:2006/02/26(日) 03:18:36 ID:/9z5IMCe
>>299
キーボード入力はキーロガー、スクリーンキーボードつかっててもそれは写ってしまう

つまり仕込まれてる可能性のあるPCはどうやっても安全にはならない

301 :DNS未登録さん:2006/02/26(日) 08:44:32 ID:???
そこでワンタイムパスワードですよ

画面とばされたらメール内容は読まれちゃうけどね

302 :DNS未登録さん:2006/03/04(土) 01:58:08 ID:???
>>301
OTPで秘匿できるのは元パスワードのみ。まさしく>>300の言うとおり、
信頼できない端末でじたばたするのは無意味、なはず

そこでTrustedComputingらしい。なんだか知らないけどどういう仕組み
なんだろう?

303 :189:2006/03/05(日) 11:18:51 ID:???
Digital Trustより安そうなCAを見つけてしまった...orz
http://www.trustlogo.co.jp/handy_phone.htm
このページで確認した所、au W32Hで問題なく見れたよ。

...まぁいいや、次の更新時に安いほうで契約すればいいんだから。

304 :189:2006/03/05(日) 11:21:06 ID:???
...って確認したら、ちゃんと >187にかいてあるじゃないか...orz

それとも最近値下げしたのかなぁ。

305 :DNS未登録さん:2006/04/02(日) 08:25:57 ID:???
くぁwせdrftgyふじこlp;
一生懸命、自鯖にSSL使えるように頑張ってたのに。。。
au使えないのか
ここ3日の苦労が水の泡
結局SSL使えるようにならなかったからあきらめがつくけどね

306 :189:2006/04/02(日) 12:28:34 ID:???
>>305
>303なら8,300円/年で使えるが。

Apacheの設定は、付属の設定ファイルをコピーして必要な所だけ変更して
作れば大して難しくないが。

307 :305:2006/04/02(日) 12:40:47 ID:???
>>306
ボクubuntu使ってるんですよ
Apache2.0

apache2-ssl-certificate
a2ensite
a2enmod
という便利なコマンドが用意されてて簡単なはずなのにできませんでしたorz

308 :DNS未登録さん:2006/04/02(日) 17:47:12 ID:???
Apacheのmod-sslと、ben-sslってどんな違いなんでしょうか
yumや、FreeBSDのportで普通にインストールしたSSLって、mod-sslですよね?

309 :DNS未登録さん:2006/04/02(日) 21:06:38 ID:???
Ben-SSL とはこれまた懐しいものを……。

310 :DNS未登録さん:2006/04/02(日) 21:44:41 ID:???
申し込む際に、選択項目にあったもので・・・ちょい迷いました

311 :DNS未登録さん:2006/04/06(木) 01:28:15 ID:cU625loL
[Rapid SSL] と [ジオトラスト]
携帯にはどちらも対応していますか?


312 :もも:2006/04/21(金) 14:12:04 ID:GIimClSl
SSLの形式で128ビットと1024ビットがありますけど どう違うのですか?


313 :DNS未登録さん:2006/04/21(金) 17:27:08 ID:???
あほかと・・・

314 :DNS未登録さん:2006/04/21(金) 18:00:53 ID:???
あほかと、、、と思う割に、暗号化強度が違う、程度の答えしか持ち合わせていない俺は

315 :DNS未登録さん:2006/04/21(金) 18:20:04 ID:???
SSLの(対称)暗号鍵の長さとRSA鍵の長さでは・・・

316 :DNS未登録さん:2006/05/21(日) 02:38:28 ID:???
Mac OS X 10.4では自前で証明書や認証局を作れるんだな。

317 :DNS未登録さん:2006/05/21(日) 04:56:13 ID:???
FreeBSDだし

318 :DNS未登録さん:2006/05/24(水) 11:21:17 ID:fhGaWOQb
http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/chap3/ssl/iisssl.html

ここみてWidowsで認証局をたちあげようとしたのですがXP Proには認証局サービスがありませんでした。
Windows付属の認証局というのはXPにはないんでしょうか?

319 :DNS未登録さん:2006/05/24(水) 11:37:37 ID:???
信頼されたソースからビルドして使うのが普通だからねぇ。
得体の知れない人間がビルドしたものなんか信用できやしねぇ。

320 :DNS未登録さん:2006/05/24(水) 13:16:09 ID:???
>>318
Server版じゃないとだめ。

321 :DNS未登録さん:2006/05/25(木) 08:34:55 ID:???
ジオトラストってベリサインに買収されたんだな。

322 :DNS未登録さん:2006/05/25(木) 10:19:35 ID:???
>>321
まじで?


323 :DNS未登録さん:2006/05/25(木) 10:29:26 ID:???
マジ

324 :DNS未登録さん:2006/05/25(木) 18:58:26 ID:???
>>321
本国でのことですよね?
どこかにソースがあったらお願いします

ジオトラストも高くなるのかな?

325 :DNS未登録さん:2006/05/25(木) 22:42:10 ID:???
>>324
ジオトラスト 買収 ベリサイン でググればたくさんのソースにヒットするよ。

326 :DNS未登録さん:2006/05/29(月) 15:26:45 ID:???
この買収に関することって結構大きな話題だと思うのだが、5スレで終了かぁ。
ジオトラストの価格が高くなりませんように。

327 :DNS未登録さん:2006/05/29(月) 16:56:58 ID:???
>>326
影響は大きいかもしれないけど、何か話題ある?
振ってみてみて。
認証商売もそんなに儲かるわけじゃないかもしれない。
ネット関係の市場はもう拡大しないかもしれないという割り切りがあるのかもね。

328 :DNS未登録さん:2006/05/29(月) 18:31:15 ID:???
ネット市場は成熟しつつあるけど、認証商売はこれからじゃないの?

329 :DNS未登録さん:2006/05/30(火) 13:57:34 ID:???
root証明書をユーザーの端末に仕込むのは結構な労力、ということが認知されたんでしょ。
寡占が進めばそのバランスは変わると思うけど、まだまだ統合は進むんじゃない?

330 :DNS未登録さん:2006/05/30(火) 17:23:18 ID:???
>>326
5スレもいったなら凄いと思う

331 :DNS未登録さん:2006/05/31(水) 14:58:58 ID:FepcIAjd
外出だけどCAcert.orgを使った認証局じゃだめなの?
無償だからこれで我慢して使っていこうかと思うんだけど。

332 :DNS未登録さん:2006/05/31(水) 16:14:39 ID:???
そんなの場合によってよかったり駄目だったりなのは、いうまでも無いとおもうけど。

333 :DNS未登録さん:2006/06/18(日) 08:39:42 ID:4klI8n6J
ips.co.krのSSL
だと安いよ。翻訳必要だけど。年2000円でSSL使える。

334 :DNS未登録さん:2006/06/18(日) 08:42:25 ID:4klI8n6J
http://www.ipsca.co.kr/

335 :DNS未登録さん:2006/06/18(日) 12:23:39 ID:???
オレオレ認証とどっちが信用できる?

336 :DNS未登録さん:2006/06/20(火) 11:51:56 ID:???
第三者が使わない&携帯電話で使うんじゃなければ、オレオレで十分

337 :DNS未登録さん:2006/06/20(火) 16:05:49 ID:/tChYQ8Q
krドメインで出してる認証局なんて怖くて使えないなw
証明書取得に出した書類とかどっかに回されそうだし。
まだオレオレ認証のほうがマシ

338 :DNS未登録さん:2006/06/20(火) 18:04:32 ID:???
オレオレ認証より少しはマシでしょ。

339 :DNS未登録さん:2006/06/20(火) 18:29:28 ID:???
個人が使うだけならオレオレ証明書が一番安全
自分で自分自身を保障してるって事だからな
さすがに他人より自分が一番信用できるだろう
証明書のインストールもUSBなりでコピーだろうし

証明書を直接渡せない不特定の第三者が使うからこその認証局の必要性が出てくる
まぁ携帯電話とかはオレオレ証明書インストールできないから
携帯会社が保障した認証局の証明書入れとくかって話にはなるがな

340 :DNS未登録さん:2006/06/20(火) 18:36:00 ID:???
オレオレ認証とヘナギとどっちが信用できる?

341 :DNS未登録さん:2006/06/20(火) 21:24:48 ID:???
安いだけなら年$12くらいからあるけどね。

342 :DNS未登録さん:2006/06/20(火) 23:36:58 ID:???
>341
そこまで安いところで、au携帯が認証できるルートサーバを使っている
所なんてあるのか?

あったら是非教えて欲しい。

343 :DNS未登録さん:2006/06/21(水) 21:35:38 ID:???
>342
あくまでipsCAより安いのあるよって出しただけだし。携帯なんてしらね。

auはSSLの情報ほとんど出してないしな。Link-by-LinkならGTEとか通ったよな?
日本で知ってるとこだと6000円からあるけど、もっと安いのってある?

344 :DNS未登録さん:2006/06/21(水) 22:47:45 ID:???
>343
過去ログ嫁。


345 :DNS未登録さん:2006/06/21(水) 23:50:14 ID:???
>344
どの部分に対して言ってんのかわからんけど。
別にオレは携帯向けにサービスしようと思ってないからどーでもいい。

346 :DNS未登録さん:2006/06/28(水) 02:41:39 ID:???
質問です。
yahooでSSL(https)でログインできるみたいですが、
標準(http)でログインしたときも、パスワードは暗号化
して送信されるようです。

これってどんな仕組み(ソフト)を使ってるんでしょうか?

347 :DNS未登録さん:2006/06/28(水) 02:54:25 ID:???
ソース読んで皆

348 :DNS未登録さん:2006/06/28(水) 03:23:17 ID:???
>>374
返事ありがとうございます。
JavaScriptが出てきました。

JavaScriptあんまりわからないんですが、
JavaScritが暗号化してから、接続して
送信するんでしょうか。

349 :DNS未登録さん:2006/07/20(木) 00:06:53 ID:???
>>348
パスワードにサーバから送られたソルトをかけて、そのハッシュを送ってる。
と思う。

350 :DNS未登録さん:2006/07/20(木) 00:20:45 ID:???
>>348
もうちょっと噛み砕く。
ログインボタンを押すと、
function hash
が走って、中でハッシュ作ってサブミットしてる。
function MD5
はブラックボックスでハッシュ関数と考えてよい。
hidden の .challenge がソルト。

351 :DNS未登録さん:2006/07/24(月) 15:32:07 ID:???
>>350
おおお、久々に見にきたら。
ありがとうございました。

352 :DNS未登録さん:2006/08/29(火) 12:26:51 ID:???
ホスト名が一緒で台数無制限な証明書を発行してくれて、安いところってどっかあります?
ワイルドカードじゃなくていいので。

353 :DNS未登録さん:2006/08/29(火) 13:47:27 ID:???
>352
FQDNが同じなら、同じ証明書を使わなければならんでしょ。
よって契約で禁止されていなければ、普通のサーバ証明書で良いはず.
#まー最低価格帯の証明書だと禁止している可能性もあるわな。

354 :DNS未登録さん:2006/08/29(火) 14:18:07 ID:???
>>353
同じである必要は無いよ。

ちなみにVerisignやBeTrustedは、コールドスタンバイマシンに入れる場合は1ライセンスでいいが、
ロードバランサで分散とかDNSラウンドロビンとかして、同時にインターネットから見てサービス状態に
あるものたちにはそれぞれの台数分のライセンスを買え、といわれる。

355 :DNS未登録さん:2006/08/29(火) 14:48:18 ID:???
>>354
> 同じである必要はないよ。

そりゃそうか。技術的には1つで済ませる事が可能だからといって、
契約がそうなっている訳じゃなし。

> ちなみにVerisignやBeTrustedは、コールドスタンバイマシンに入れる場合は1ライセンスでいいが、
> ロードバランサで分散とかDNSラウンドロビンとかして、同時にインターネットから見てサービス状態に
> あるものたちにはそれぞれの台数分のライセンスを買え、といわれる。

情報Thanks.
だから結構高いSSLアクセラレータ箱が売れるんだな。
各PCに暗号ハードウェアを載せた方がコストパフォーマンスに優れているはずなのに、証明書を台数分売り
つけられると高くなるわなぁ。


356 :DNS未登録さん:2006/08/29(火) 16:23:10 ID:???
うわー、すげーいいスレだね、ここ。
実はまったく同じくAUで使えるやつさがしてました。
グループウェア用だから安いのっておもってて
trustlogoでいいかなー、とおもっていたら
http://www.positivessl.com/
ってのをみつけたよ。誰か試してみてくれないか?
自分でためせっていわれるとおもおうけど、環境がないのでーす。


357 :DNS未登録さん:2006/08/29(火) 19:35:14 ID:???
>356
これToritonとほぼ同じだろう。ルートCAも同じCOMODOだし。

  なし      = Positive SSL($14.90)
Toriton SSL($79.95) = INSTANT SSL($79.95)

Positive SSLは保険がないなど、多少見劣りがしそうでは
あるが、自宅鯖には関係ない罠.

ちなみにこのサイトのInternationalを見てみると、日本は
Toriton Inc. http://www.trustlogo.co.jp/ が代理店だとさ。
道理で同じわけだ。

そういう訳で、人柱キボン。
#漏れの所はもうSSL使っているので、お試しができないんだよ。


358 :DNS未登録さん:2006/08/29(火) 23:33:34 ID:???
>>353
んで、どっか紹介してほしかったのよ。
どなたかここなんていかが?なんてない?

359 :DNS未登録さん:2006/08/29(火) 23:35:11 ID:???
結論からいうとNGですた。
LiteSSL CA ってのの発行になる。
ブラウザでは問題なかったけどAUではダメだった。


360 :DNS未登録さん:2006/08/30(水) 00:07:16 ID:???
>>358
BLADE
http://www.blade-ntt.com/SecurePassport/index.html
livedoor SSL
http://secure.livedoor.com/

361 :DNS未登録さん:2006/08/30(水) 12:29:13 ID:???
>359
Thanks.

>360
なかなか親切な香具師だな(W


362 :DNS未登録さん:2006/08/30(水) 21:56:38 ID:???
待ってくれれば既に去年にlitessl.comだった時に試した香具師がここに居たのに…
RootCAはUTN - USERFirst-Hardwareな

363 :358:2006/08/31(木) 05:56:17 ID:???
>>360
さんきゅー。
BLADEは知っていたけど、livedoorは初めて知った。


364 :DNS未登録さん:2006/08/31(木) 15:15:04 ID:???
>363
値段は調べたのか?

ま、業務用としては安い方かもしれん。

365 :363:2006/09/01(金) 15:54:40 ID:???
6万じゃないの?税込みで63000円。業務用だから、このくらいの価格は問題なし。

366 :DNS未登録さん:2006/09/01(金) 16:53:15 ID:???
すまんが、誰か教えてくれ。
AUでSSLしたくて安いところを探してました。
で、positivesslをテストしたけど、AUでははじかれた。
発行者はlitesslってところだったから、そのせいかな、とおもってた。
trustlogoと同じcomodoだから大丈夫!とおもってたので不思議だったんだけど
comodoってのはルート証明書ってのは、どっかのを使うようになっていて
trustlogoはたまたまAUの携帯でも使える認証局のものをつかってるから
使えるっていう理解でいいんでしょうか?
だとしたらAUで使えるルート認証局をつかっててcomodoでサービスしてる
安いところを探せばおっけー?

367 :DNS未登録さん:2006/09/01(金) 16:55:40 ID:???
すまんが、誰か教えてくれ。
AUでSSLしたくて安いところを探してました。
で、positivesslをテストしたけど、AUでははじかれた。
発行者はlitesslってところだったから、そのせいかな、とおもってた。
trustlogoと同じcomodoだから大丈夫!とおもってたので不思議だったんだけど
comodoってのはルート証明書ってのは、どっかのを使うようになっていて
trustlogoはたまたまAUの携帯でも使える認証局のものをつかってるから
使えるっていう理解でいいんでしょうか?
だとしたらAUで使えるルート認証局をつかっててcomodoでサービスしてる
安いところを探せばおっけー?

368 :DNS未登録さん:2006/09/01(金) 17:06:15 ID:???
連続投稿しちゃった、すまそ。

調べたら記述があった。

 従来 COMODO の証明書は GTE CyberTrust root が用いられていました。
 この証明書は携帯電話・PHS にも導入されている機種が多く、
 携帯電話・PHS 向けの運用にもご利用いただける証明書としてご利用いただきましたが、
 2005年秋よりルート証明書 AddTrust/UTN root へ変更となりました。
 GTE CyberTrust root を用いた証明書は
 「携帯電話・PHS対応版」と記載された証明書でご利用いただけます

http://ssl.jp/cert

いまから申し込んでも駄目なのかなぁ・・・

369 :DNS未登録さん:2006/09/01(金) 17:25:36 ID:???
>368
その情報、かなり誤解(?曲解、嘘?)が含まれていると思われ。
「激安証明書は、root CAがAddTrust/UTNrootなので日本の携帯では使えません」
と言いたいだけだろう。

www.trustlogo.co.jp(Triton, Inc.)で今年の8月に買った証明書
(Triton,Inc SSL 8,300円/年)は、ちゃんとAU携帯で使えるよ.

370 :DNS未登録さん:2006/09/02(土) 12:56:40 ID:???
trustlogoで申し込むといろいろと書類出せといわれるみたいだけど
positivesslだと言われない?


371 :DNS未登録さん:2006/09/07(木) 13:54:57 ID:???
日本コモドがUTNのrootに変えるみたいなんだけど。
http://www.comodojapan.com/20060906.html

372 :DNS未登録さん:2006/09/08(金) 12:30:21 ID:???
>371
Enterprise SSLだけだろ?当面関係ないと思われ。
携帯相手の商売をやってる会社は困るかもしれんが。

373 :DNS未登録さん:2006/09/13(水) 12:39:36 ID:t+5oXWbo
もう www.trustlogo.co.jp だと携帯で使えなくなっちゃうの?
ttp://www.trustlogo.co.jp/press_center/2006_09.htm


374 :DNS未登録さん:2006/09/13(水) 15:34:08 ID:???
>379
ぐえ、3年契約にしておけばよかった...orz
...今からでも遅くはないか?

375 :DNS未登録さん:2006/09/19(火) 00:49:34 ID:???
trustlogって長期で契約すると損するよ。
1年 8300円 79.95ドル
2年14300円 99.95ドル
3年19700円139.95ドル
明らかにぼったくり。1年んから2年で20ドルしか増えてないのに6000円も増えてる(笑
携帯で使えなくなったらrapidsslでも使った方がよっぽどまし。

376 :DNS未登録さん:2006/09/19(火) 11:04:51 ID:???
>375
ボッタクリでも使えなくなるよりはマシ。
日本円での割引が少ないだけだろ。
今月中ならまだrootがGTE CyberTrustの証明書が来るんだろ?

簡単に証明書を出すアホCAが増えたせいで、CAの正当性が危機に
瀕しているんだよ.今回の件はCoMoDo社がそういう困った会社
だと見なされて、CyberTrust社から契約切られたんだろう.

3年契約しておいて、3年後に期限が切れたらその時に考えようと.
3年もあれば、その時の証明書の値段に見合うサービスになっている
かどうか、判断して決めれば良いこと。

377 :DNS未登録さん:2006/09/21(木) 13:22:57 ID:???
8月頭に1年有効な証明書を買ったが、これ知ったのは返金補償
の30日を過ぎた後.当然文句を言ったが、どうにもならない。
契約は契約なので、仕方なく別FQDNで9/15に申し込んだ。9/20
に送られてきた証明書はまだrootがGTE CyberTrustのままで、
au携帯(W32H)で問題なく使える.

もし来年までにTritonの証明書が携帯各社に採用されているroot
証明書に乗換えられたら、まぁ笑ってくれ.

ssl.jpのページによれば、他のroot CAに移ると条件が厳しくなる
なるらしいから、無駄にはならんと思う.
http://ssl.jp/

しかしssl.jpが代替手段として勧めているD-U-N-S Numberって
何の事かと思ったら、こんなアホ臭いサービスらしい:
http://www.dnb.co.jp/

我々が求めているのは携帯と安全にSSL/TLS通信がやりたいので
あって、企業の格付けとは無関係なのだが。頭弱いね>ssl.jp


378 :DNS未登録さん:2006/09/21(木) 13:58:19 ID:???
Digitrustは、一応まだ大丈夫らしい:

https://www.digitrust.jp/environment.html

対応端末:
携帯電話 GTE Cyber Trust Rootのルート証明書が取り組まれている端末

値段がイマイチ高いのが難だが、ここが最後の砦になるかもしれん。

379 :DNS未登録さん:2006/09/22(金) 13:34:25 ID:???
>>376
まともの会社なら、こういう会社は使わないよ。
個人とか相手にしてるからこういうおかしな価格設定通用するんだろうね。
あるいは担当者が間抜けなのか。

>>378
良い情報ありがとう。

PDA Phoneが増えれば解決するかもしれないけどねぇ・・・。



380 :37[678:2006/09/22(金) 13:45:21 ID:???
>379
発行された証明書は、余程の事が無い限り有効期限まで
有効である事が保証されている.だから駆け込みで3年契約した訳.

#Digitrustよりよっぽど安いし、Digitrustの証明書のroot CAが
 後3年間変わらないという保証もないし。

381 :37[678] 380:2006/09/22(金) 14:00:13 ID:???
#>380は途中で送ってしまった。申し訳ない.

>> 379
> まともの会社なら、こういう会社は使わないよ。
> 個人とか相手にしてるからこういうおかしな価格設定通用するんだろうね。
> あるいは担当者が間抜けなのか。

こういう安いCAは、当然個人やSOHO、小規模企業を相手にしているのだから、
特に問題は感じないが.「おかしな価格設定」ってよくわからんのだが。

>>375 の事かな?
各契約のドル換算レートが以下のようになっている事を問題にしている?
1年:$1.00 = ¥103.81
2年:$1.00 = ¥143.07
3年:$1.00 = ¥140.76

まぁ確かに下手糞な値段設定だとは思うが、US$で発生する費用と、JP¥
で発生する費用があるから、こうなる事もあるだろう.1年契約をわざと
安くしておく戦略価格なのかもしれない.
ここ印鑑証明まで要求してくるから、手続きが面倒なんだよね。
だからそれくらいなら...と3年契約に誘導しているのではないかな?


382 :DNS未登録さん:2006/09/22(金) 21:01:06 ID:???
>>378
COMODOとCyberTrustが契約解消した以上ここもそろそろアナウンス出しそうだけどね。

Toritonのが12月に切れるから早めに新しく買っておくかなぁ。
個人相手にGTE出してくれる良いとこだったのに。

383 :DNS未登録さん:2006/09/25(月) 01:18:52 ID:???
digitrust よりさらに高いけど NetworkSolutions 系列:
http://w3lab.org/index.html

GTE CyberTrust Global Root からたどれるのって Comodo と NSI 以外に
他はどこがあるの?



384 :DNS未登録さん:2006/09/27(水) 03:34:03 ID:RETEZ/YC
http://www.s-page.net/

↑ここが3年で8800円なんで申し込もうかなと思ってるんだけど
日本でもっと安いとこがあるなら教えてもらえませんか?RapidSSL

385 :DNS未登録さん:2006/10/06(金) 23:42:20 ID:???
DigiTrustから連絡が来たが.... To: に客全員と思われるメールアドレスが
ならんどる(-_-###

予告もせずにこの有様では、終わっているなこの会社。


386 :DNS未登録さん:2006/10/11(水) 17:33:59 ID:???
ttp://www.netsolssl.com/repository/practice_statement.html

> Network Solutions relies on BeTrusted (www.betrusted.com - AICPA/CICA WebTrust
> Program for Certification Authorities approved security provider) for its Root CA Certificate for
> Digital Certificates issued on or before July 20, 2006, and UTN-USERFIRST-Hardware and
> AddTrust External CA Root for its Root CA Certificates for Digital Certificates issued after July 20, 2006.


387 :DNS未登録さん:2006/10/12(木) 11:51:46 ID:???
pass phraseの変更ってどうやるんですか?

388 :DNS未登録さん:2006/10/18(水) 23:53:17 ID:???
すごく初歩的な質問ですみません。
httpsであれば「必ず」クライアント証明書かサーバ証明書のどちらかが使用されますか?
逆に、クライアント証明書かサーバ証明書のどちらかを使用した通信は「必ず」httpsですか?

389 :DNS未登録さん:2006/10/22(日) 15:02:17 ID:6r1jqfC1
ttp://www.trustlogo.co.jp/press_center/2006_10.htm
> 先日、ご案内させていただきましたroot証明書変更に関しまして、
> UTNroot からEntrust Secure Server CA. に変更が決定されましたので
> ご報告させていただきます。

Entrust なら au と SoftBank の端末には入ってるね。


390 :DNS未登録さん:2006/10/25(水) 11:55:54 ID:Eh9ffwed
このスレマッハおもすれー(・∀・)

391 :DNS未登録さん:2006/10/27(金) 00:46:10 ID:???
Xreaも採用している、台数無制限なワイルドカード証明書。($449/year)
ここより安いところってありますか?

DigiCert
http://www.digicert.com/

392 :DNS未登録さん:2006/10/27(金) 11:42:53 ID:???
>>391
ここで35000円でやっているんだけど。
ttp://jp.rapidssl.com/index.html
日本ジオトラストからおろしているらしいが本家だと数倍なんだよね。

393 :DNS未登録さん:2006/10/27(金) 22:32:27 ID:???
>>392
サーバ台数無制限ではないみたい、、、

394 :DNS未登録さん:2006/10/27(金) 23:16:19 ID:???
>>392
安いけどいつからやってるんだろう?
ジオトラストへのリンクもないし
ジオトラストのプレスリリースのページとか見ても
そのサイトのことはなにも書いてないね
大丈夫なのかな?

395 :DNS未登録さん:2006/11/04(土) 15:05:08 ID:???
>>392
もっと安いリセラーが結構いるよ。

>>394
ttp://www.rapidssl.com/ssl-certificate-international/index.htm


396 :DNS未登録さん:2006/11/04(土) 21:58:21 ID:???
ここより安いところある?

RapidSSL $14.95
QuickSSL $49.00
QuickSSL Premium $94.00

EV1Servers
http://www.ev1servers.net/Dedicated/DomainsAndSSL.aspx

397 :DNS未登録さん:2006/11/04(土) 22:10:25 ID:???
FlySSL $9.99/yr 安すぎ、、、

http://registerfly.com/ssl/

398 :DNS未登録さん:2006/11/06(月) 10:41:04 ID:ptqHr+8h
ベリサインに認証されたaaa.comというドメインがあったとして、
その証明書がインストールされたサーバを新たな認証局として
別のbbb.comというドメインを認証する事は可能?

ベリサイン

aaa.com

bbb.com

bbb.comのルート認証局はベリサインになるから、ブラウザでも
警告出ないような気がするんだけど…

399 :DNS未登録さん:2006/11/06(月) 14:28:04 ID:???
>339
不可能.それができるなら、偽証明書が簡単に作れるではないか。

> bbb.comのルート認証局はベリサインになる

ができない事を自分で調べたら理解できると思う.

400 :DNS未登録さん:2006/11/06(月) 19:22:56 ID:???
Chain証明はChainする中間証明書がその用途に発行されてなければいけない。
Subject TypeがCAを持ってないなら駄目。というかそんなのはEnd Entity証明書とは
全く違うもの。

401 :DNS未登録さん:2006/11/08(水) 06:15:43 ID:???
RapidSSLの再発行って、レンタルサーバを変えた時にも有効ですか?

402 :DNS未登録さん:2006/11/08(水) 17:13:54 ID:???
>>401
有効でつ。

403 :DNS未登録さん:2006/11/09(木) 00:38:47 ID:???
>>402
ありがとうございます。安心して買います

404 :DNS未登録さん:2006/12/08(金) 11:28:08 ID:???
http://w3lab.org/index.html
もGTE CyberTrust Global Root からUTNに変わってしもうた orz
他に
GTE CyberTrust Global Root で出してもらえる場所ってないの?


405 :DNS未登録さん:2006/12/08(金) 12:32:14 ID:???
TritonはUTN止めた。
ttp://www.trustlogo.co.jp/press_center/2006_10.htm
UTNroot からEntrust Secure Server CA. に変更

Digitrustも止めた。
ttp://www.m-t.com/faq/
今後発行される証明書に関してはEntrustルート証明書での発行となります。

共に「日本市場における携帯電話向けの需要」のために、なんとか
したらしい。
手元のau W32Hには、それらしいルート証明書が入っている.
--
バージョン: 3
シリアル番号: 374AD243
署名アルゴリズム:sha1WithRSAEncryption
発行者:
/C=US
/O=Entrust.net
/OU=www.entrust.net/CPS incorp. by ref. (limitsliab.)
/OU=(c) 1999 Entrust.net Limited
/CN=Entrust.net Secure Server Certification Authority
発効日:05/25/99 16:09:40
有効期限:05/25/19 16:39:40
件名:
/C=US
/O=Entrust.net
/OU=www.entrust.net/CPS incorp. by ref. (limitsliab.)
/OU=(c) 1999 Entrust.net Limited
/CN=Entrust.net Secure Server Certification Authority
公開鍵:(略)
---

https://www.trustlogo.co.jp/i/にアクセスしてみた所、
ルートがEntrust.netの証明書で正常にアクセスできたよ。

他の機種でどうなっているかはわからんけど、一例として
ご参考まで.


406 :405:2006/12/08(金) 13:00:13 ID:???
ついでにPCでも追試してみた。
・Win2K (MS Updateで最新状態のはず)
Firefox 1.5.0.8 - OK
 IE6(6.0.2800.1106) - OK
 Opera 8.51 - OK
・FreeBSD 6-STABLE
 Firefox 1.5.0.7 - OK
・MacOS X Tiger(10.4.8)
 Firefox 1.5.0.8 - OK
 Opera 9.02 - OK
 Safari 2.0.4(419.3) - OK
・Sharp Linux Zaurus C-3200
 NetFront v3.1 - OK
ただし、root CAの証明書は見えない)

407 :405:2006/12/08(金) 13:03:38 ID:???
>406
間違えて編集途中で送ってしまった.すまぬ.

リナザウC-3200付属のNetFront v3.1では、正常に表示されるのだけど、
確認できる証明書が接続先のサーバ証明書のみで、上位のCAの証明書
が確認できないようだ。


408 :DNS未登録さん:2006/12/08(金) 15:04:41 ID:???
UTN
使えねー

ドコモ
Entrust Secure Server CA
なんで今までいれねーんだ

409 :DNS未登録さん:2006/12/09(土) 06:25:00 ID:???
結局の所、ベリサイン以外は使い物にならないって事ですね。

410 :DNS未登録さん:2006/12/09(土) 09:33:04 ID:7HJZc7J3
長嶋さんのセコムはGTE cyber trustだって!!
電話して聞いてみたらそういわれたよ。
でも年間68000円だそうな。
っていうかベリとあんまりカワンネー
高いorz

ベリサリン値下げしろ!!

そして
ドコモ
Entrust Secure Server CA
各端末に入れろ!!


411 :DNS未登録さん:2006/12/10(日) 06:41:56 ID:???
>>410
つ CyberTrust.comの方
ttp://cybertrust.omniroot.com/
$349だけど。

412 :DNS未登録さん:2006/12/11(月) 04:34:39 ID:???
RapidSSLのルートCA、いつからEquifaxに変わったんだろ?
ttps://www.rapidssl.com/test/rapidssl.htm
昔はUSERTRUSTがルートCAに使われていて、携帯じゃ使い物にならなかったけど
Equifaxならだいぶマシになるかな?

413 :DNS未登録さん:2006/12/11(月) 10:55:55 ID:???
質問させてください。
SSL購入を考えています。
購入した場合、どういった手順で導入したらいいのでしょうか?
まったくわからないので、簡単に教えていただけるとうれしいです。
よろしくお願いします。


414 :DNS未登録さん:2006/12/11(月) 11:35:34 ID:???
勉強する気あんのか。糞野郎。

415 :DNS未登録さん:2006/12/11(月) 12:01:00 ID:???
ショッピングサイト作ったんだけど
SSL導入しないで販売することできるの?

416 :DNS未登録さん:2006/12/11(月) 12:05:20 ID:???
>>415
可能だけど、信用度ゼロ
暗号化していないのに近い。

417 :DNS未登録さん:2006/12/11(月) 16:57:29 ID:???
入力内容によるけど
個人情報をちょっとでも入れるのならSSLが無いとこでは買わない

418 :DNS未登録さん:2006/12/11(月) 17:37:54 ID:???
SSLがない事により漏れるリスクより、ショップ側の管理の杜撰さで
漏れるリスクの方が高い気がする今日のこの頃。
うちの会社、顧客のカード番号、パスワードとか普通に紙にメモるし、
顧客情報、注文情報は社員のPCに普通にコピーするし、
その後、削除されたかどうかもわからない。全く個人情報管理ができてない。
サイトにはベリサインで安全です!ってシール貼っているけど、見かけだけw

419 :DNS未登録さん:2006/12/11(月) 21:06:24 ID:???
<<413
WEBサーバーからCSRを作成します。
SSL証明書を作ってくれる会社の申込書に
CSRを貼り付けます。

その会社から証明書がメールとかでくるから
webサーバーに取り込む

WEBサーバーを再起動

以上です。

420 :DNS未登録さん:2006/12/12(火) 07:31:52 ID:???
実際SSLってそんなに重要じゃないよね
YahooJapanのトップページから右のメニューの「メール」をクリックすると
IDとパスワード入力するページがデフォルトでhttpモードだし。
ほとんどの人はSSLモード使ってないでしょうね。
クレジット情報はやばいかもしれないけど名前や住所くらいならSSL使う必要まったくない。
SSL関連企業の金儲けの道具にすぎないね。


421 :DNS未登録さん:2006/12/12(火) 07:56:41 ID:???
>>420
いやいやそうではなくて
企業である以上個人情報には厳重に管理しているという証がひつようなんですよ。
そのためにSSLが必要だと思いますよ。



422 :DNS未登録さん:2006/12/12(火) 08:08:41 ID:???
>>421
個人情報を厳密に管理しているということ (アクセス制御の正当性) と、
トランスポートにSSL暗号化を使っているということ (意図しない情報漏洩の排除) は
全く無関係なもののはずなのに、なぜか一般的にはごっちゃにされているというのが
悲しいところ。

そう言う意味では
> SSL関連企業の金儲けの道具にすぎない
という主張も正しいと思われ。

# っていうか自宅サーバ板のネタではないよな

423 :DNS未登録さん:2006/12/12(火) 11:06:22 ID:???
少なくともproxy使ってる場合、通信内容はproxy管理者にはダダ漏れ

424 :DNS未登録さん:2006/12/12(火) 12:37:48 ID:???
>>422
SSLを使っていなかったり、ちゃんとした認証局を使っていないSSL通信では
外部から覗き見ができるので、
当然ながらそこから個人情報も漏れる可能性がある。
従って厳密管理が最初から出来ていない事となる。

425 :DNS未登録さん:2006/12/12(火) 13:05:49 ID:???
メールに個人情報書かれてたら意味無し

426 :DNS未登録さん:2006/12/12(火) 13:16:16 ID:???
SSL/TLS入れればよいと言うのは間違いだが、SSL/TLSすらないweb
サイトで金を扱うなんてのは非常識.

SSLなんてあって当然で、その上でいかに顧客の個人情報を守るか
という工夫をしないとね。課金ASPにリダイレクトして、自社では
最低限度必要な情報のみ扱うというのが原則だろう。
直接カード会社(or CAFIS?)と取引できるとしても、この原則は
変わらない.

427 :DNS未登録さん:2006/12/12(火) 18:30:54 ID:???
必要条件と十分条件の区別が付かないクズが多数いる模様

428 :DNS未登録さん:2006/12/13(水) 14:55:18 ID:???
>>424
Verisign発行の証明書だろうとオレオレ証明書だろうと暗号強度に変わりはないだろ
のぞき見できるというならそれこそSSLの根幹に関わる問題

429 :DNS未登録さん:2006/12/13(水) 16:05:19 ID:???
>>428
オレオレ証明書はその証明書を渡す手段が問題。
渡すのにちゃんとした証明のあるSSLが必要。
第一不特定多数或いはお客様にこの証明書をインストールしてくれなんて言えない。

IEで警告で、OK押してしまうなら423が書いているようにproxyでもれもれ。


430 :DNS未登録さん:2006/12/13(水) 16:09:47 ID:???
>>429
そんなの証明書が確かにオレオレ証明書なのか確認すりゃいいだけ
一手間増えるが安全性に問題はないだろ

431 :DNS未登録さん:2006/12/13(水) 17:13:22 ID:???
いや、だからその証明書を証明してくれるCA鯖がオレオレかどうか
どうやって確認すんの。

432 :DNS未登録さん:2006/12/13(水) 17:43:14 ID:???
>Verisign発行の証明書だろうとオレオレ証明書だろうと暗号強度に変わりはないだろ
>のぞき見できるというならそれこそSSLの根幹に関わる問題

オレオレ証明書では通信相手がニセモノだったとしてもそれを検知できない。
ちゃんとした CA から発行されたものならば可能。
>>428は A と B の間の通信経路上に C が入りこんで中身を覗くという感じで
イメージしてるんじゃないかと思うが、そうじゃなくて、
B と通信してると思ったら実は C だった(でもそれに気がつかない)、
というのが「他人が覗き見ることができる」ということ。

オレオレ証明でも暗号強度に変わりはないのは事実だが、
相手がホンモノであると確認せず、B と通信してるつもりで
赤の他人の C と強固な暗号通信してるようじゃまったく無意味。


433 :DNS未登録さん:2006/12/13(水) 17:43:34 ID:???
FingerPrintというのがあってだな。

というか、政府系だと、官報にフィンガープリントを載せて、それとオレオレ証明書の
フィンガープリントが一致するか確かめろ、と書いてある。国土交通省とかがそうだな。

外国の一私企業の信用の担保<自国政府の発行物の信用の担保 ということだろうし、
それは正しいとは思うが、まあ一般人には理解しづらいだろうな。
だからCAはMSとネゴって政府がやれば良いんだよ。

434 :DNS未登録さん:2006/12/13(水) 17:46:14 ID:???
>>433 のソースはここな

http://www.mlit.go.jp/actionplan/ninshou.html


435 :DNS未登録さん:2006/12/13(水) 18:52:24 ID:???
既に>>433が書いてくれてるが一応書いとく

>>432
そのつもりで書いてたわけだが、証明書を一意に識別する方法があるんだからそれを使えばいいだけ
実際、俺は自宅鯖にアクセスする際にはメモってるオレオレCAの拇印と照合して安全を担保してる
それ無しでというなら確かにオレオレ証明書は安全性に問題有りだろうな

436 :DNS未登録さん:2006/12/13(水) 19:07:01 ID:???
>>435
フィンガープリントで証明書を検証できるぐらいITリテラシーの高い人は
世の中そんなに多くありません。

437 :DNS未登録さん:2006/12/13(水) 19:38:08 ID:???
>>434
そして今度はそのフィンガープリントの正当性をどのように確保するかという問題が発生するわけだ


438 :DNS未登録さん:2006/12/13(水) 23:57:11 ID:???
オンライン以外で、証明書の正当性を確保する術を持っているのならば
オレオレ証明書で十分なんだろうな。(手間の問題は一旦おいておく)
政府の官報しかり、>>435 の場合アクセスするのが自分だけなので
自分がメモを持ち歩けばいい。
対面したことのある相手なのであれば、名刺に書いておくなんてものいい
んだろうな。
不特定多数を相手にしようとすると、方法が無いわけではないが
とたんに面倒なことになるし、>>436 の問題もある。
(特定少数であれば、極端な話、自分で証明書をインストールして
まわればいい)
ということで大抵のやつは金で解決するのが簡単なので、スレタイと。

439 :DNS未登録さん:2006/12/14(木) 01:37:54 ID:???
偽官報が流行るかも

440 :DNS未登録さん:2006/12/14(木) 02:59:13 ID:PYr/tA54
>>433
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=2821


441 :DNS未登録さん:2006/12/16(土) 01:32:35 ID:???
そういや、Microsoft は各 CA からいくら貰ってるんだろ。
さらには、他のフリーのブラウザの場合はどうしてるんだろ。

442 :DNS未登録さん:2006/12/16(土) 07:17:31 ID:???
openSSLに入っているpemを使っているんじゃないか

443 :DNS未登録さん:2006/12/16(土) 10:15:41 ID:???
>>441
MicrosoftについてはRoot CAになるための参加プログラムがあって、
それに合格すればWindows Updateでルート鍵を配布してもらえたはず。

直接金をもらうことはなくて、そのプログラムに参加するときの
周辺手続きの手数料(月額でかかるものもある)で稼ぐ構造だな。

Mozillaについては以下。基本的に金を徴収することはなくて、
特定の条件に合致していてコミュニティ内で合意が得られればOKというスタンス。
http://www.mozilla.org/projects/security/pki/nss/ca-certificates/policy.html

444 :DNS未登録さん:2006/12/16(土) 10:30:33 ID:???
携帯はどうなんだろう?

445 :DNS未登録さん:2006/12/16(土) 10:44:25 ID:???
>>444
携帯電話はキャリア次第だが、基本的にMicrosoft同様審査プログラムがあって、
それに合格すれば載せてもらえたはず。ただWindows Updateみたいに現行の機種に
対して新たに参加したCAを載せることはしないらしいので、合格しても新機種が普及
しきらないとCAがCAとして意味を為さない可能性がある。

中身はいわゆる携帯アプリの審査と同様で、全ては金次第。
金額で審査の早さと不合格時の理由説明が変わるそうな。

446 :DNS未登録さん:2006/12/17(日) 15:38:03 ID:???
みんなOmniRootにこだわってるけど、誰かthawteのSGC SuperCert試した人いない?
RootCAがVerisignになるはずなんだけど。
個人でもとれるけど、証明書類とかがかなり面倒そうなんだよね。。

447 :DNS未登録さん:2006/12/19(火) 10:32:14 ID:???
PCでしか閲覧しないサイトを作っています。
セキュリティ警告さえ出なければ良いのですが、ここってどうなんでしょう?
安いけど、サイト構成が嘘くさそう(VeriSign、GeoTrustと混同しそう)なんです・・・

HyperTrust
ttp://www.ssl.ph/hypertrust/contents05.html

ここの証明書使っている方いらっしゃれば情報教えて下さい。

448 :DNS未登録さん:2006/12/19(火) 22:07:55 ID:???
>>447
そこ使うぐらいならオレオレ証明書でもいいと思うが
まぁ金が絡んでるのなら話は別だがな

449 :DNS未登録さん:2006/12/20(水) 03:35:58 ID:???
>>447
ComodoのOEMじゃん。
ttp://www.ssl.ph/hypertrust/contents06.html

どうせだったら>>397のFlySSLにチャレンジしてほしいな。

450 :DNS未登録さん:2006/12/20(水) 05:07:52 ID:???
質問
無料でセキュリティ警告を出さないようにすることってできますか?


451 :DNS未登録さん:2006/12/20(水) 05:13:45 ID:???
>>450
SSL通信を使わない

452 :DNS未登録さん:2006/12/20(水) 09:46:47 ID:???
>>448
そんなものですか・・・早まらないで良かった・・・
金は絡んでくるのですが、結局オレオレ証明書でOKになりました。

>>449
調査不足で、Comodoが何なのか分かっていませんでした。
FlySSL安っ・・・しかし、結局オレオr(ry
英語サポートは怖くて手が出ません。

お二人ともレスありがとうございました。

453 :DNS未登録さん:2006/12/20(水) 14:54:48 ID:???
>>447
リセラーがHyperBoxじゃん。昔からあるレンサバ屋だ。
証明書自体はComodo UK(つかGlobal)。とくに何も特筆すべき所無しかなぁ。

>>452
金が絡んでるのにオレオレ証明書使われたらウチなら切る。

454 :DNS未登録さん:2006/12/24(日) 16:14:45 ID:???
ぶっちゃけ一番安い証明書ってどこですか?

455 :DNS未登録さん:2006/12/24(日) 16:24:48 ID:???
Rapid SSL $14.95 かな?

456 :DNS未登録さん:2006/12/24(日) 18:03:25 ID:???
>>454
>>397のFlySSL $9.99/yrにチャレンジ汁!

457 :DNS未登録さん:2006/12/24(日) 22:02:16 ID:???
Fly気になるなぁ。
携帯で使えないのか試してみたい気がするんだが
あいにく空いてるIPがない・・・。


458 :DNS未登録さん:2006/12/28(木) 22:15:28 ID:???
FlyはComodoにぶら下がってるのでRootはUTN

459 :DNS未登録さん:2006/12/28(木) 22:16:25 ID:???
FlyはComodoにぶら下がってるのでrootはUTNだよ

460 :DNS未登録さん:2006/12/28(木) 22:34:25 ID:???
だよ

461 :DNS未登録さん:2006/12/29(金) 13:03:46 ID:???
あの
フォームなどから送られたデータが見れる見れるってみんな言うけど
実際どうやってみるんですか?

462 :DNS未登録さん:2006/12/29(金) 16:15:48 ID:???
キーロガー
スニファ
モニターポート
どっかのログ
覗き見
おまえのうわ言
etc...

463 :DNS未登録さん:2006/12/29(金) 23:32:33 ID:???
そのフォームを処理するプログラムが見れないと困るだろうな。

464 :DNS未登録さん:2007/01/05(金) 00:37:02 ID:???
いままでROMってたんですが今回RegisterFlyのFlySSLを取得してみました。。。

結果・・・ブラウザ認識率99%どころの話じゃありませんでした。涙
こちらにミスはなかったと思うのですが、
発行元: ResellerFly Cerificate Services
で、不明な機関の署名になります。


465 :464:2007/01/05(金) 01:16:55 ID:???
ゴメンナサイ。訂正です!!
証明書はメールで届くのですが、そのメールにはZip形式のファイルが添付されていて、それに中間証明書と自分の証明書が入ってくるというものでした。
この添付ファイルに気づかなくて・・・。

ということで、IE7では

UTN-USERFirst-Hardware
+ResellerFly Cartificate Service
+(自分のドメイン)

となりました。
Operaでは

AddTrust External CA Root
+UTN-USERFirst-Hardware
+ResellerFly Cartificate Service
+(自分のドメイン)

でした。シングルルートではないですが、ブラウザでは正常に認識されました。
以上報告です。

466 :DNS未登録さん:2007/01/05(金) 01:21:43 ID:???
>>464
ご愁傷様です。
そんなインチキ証明書使うぐらいならCAcert.orgのサーバ証明書使ったほうが
まだマシって感じですね。

467 :466:2007/01/05(金) 01:25:52 ID:???
UTN -> Fly のChained Rootな証明書だったわけですか。
それならブラウザに警告を出させないための証明書としては十分な効果を発揮しそう。

468 :464:2007/01/05(金) 01:35:01 ID:???
添付ファイルにもっと早く気づいていれば・・・って感じです。
メールの文面には、中間証明書のファイル名と自分の証明書のファイル名が記載されていたのですが
「そんなファイルないじゃん」と一人で勝手に・・・(笑) たんに見落としていただけでした。
でも無駄にならなくて良かったです。

中間ありの証明書でもブラウザではちゃんと認識してくれますから、それでも良い人は損じゃないかと思いました。


469 :DNS未登録さん:2007/01/06(土) 01:11:40 ID:???
>>464
携帯はどうっすか?


470 :DNS未登録さん:2007/01/06(土) 02:49:57 ID:???
>>469
UTNがルート認証局の時点でアウト。
ルート認証局が携帯でサポートされてるならChained Rootでも大丈夫だったと思う。

471 :DNS未登録さん:2007/01/06(土) 14:26:44 ID:???
Chainedかどうかなんて気にするな。
Root CAさえ合えばok。

472 :DNS未登録さん:2007/01/06(土) 14:30:40 ID:???
ってことは激安携帯SSLは未だになしってことですか・・・。
あうー。

473 :DNS未登録さん:2007/01/06(土) 15:18:11 ID:???
比較的安いところだとRapidSSLあたりになるのかな?
ルート認証局がEquifaxなんで最近の携帯なら大丈夫みたい。

474 :DNS未登録さん:2007/01/11(木) 21:39:27 ID:???
RapidSSLって買った後サポートないから苦情多いみたいだよ。

475 :DNS未登録さん:2007/01/12(金) 01:15:11 ID:???
サポートってなに?
つーか、サポート必要なやつがサーバーの設定するの??
何でも自己解決が鯖管の必須スキルだとおもってたんだけど、今は違うのかな・・・。


476 :DNS未登録さん:2007/01/12(金) 11:26:09 ID:???
>475
鯖管といっても色んな香具師がいるからな。
もちろん証明書程度でサポートが必要な香具師は論外だが、残念ながら
現実にはそういう論外な香具師の方が多い。
そういう論外な香具師をなんとか使えるようにするために、webminなどが
あるんだな。

477 :DNS未登録さん:2007/02/15(木) 22:20:28 ID:7BQRCPvK
RapidのルートはEquifax Secure Global eBusiness CA-1だったはず。
携帯に入っているのとはまた違うのでアウト

478 :DNS未登録さん:2007/02/16(金) 01:30:22 ID:???
>>476
SSLサーバー証明書程度でサポートが必要な奴はWebminがあっても無理だと思うがなw
あれは、一定以上のスキルがある人間が管理の手間を省くための物だろ

479 :DNS未登録さん:2007/02/16(金) 09:12:49 ID:???
SSL関係の本読んでやれば誰でもできる程度のスキルでしょ?
それすらできないって・・・

480 :DNS未登録さん:2007/02/16(金) 16:05:55 ID:F+oMmIoQ
>>479
だから論外

481 :DNS未登録さん:2007/02/17(土) 08:45:18 ID:???
> 478
webminって省力化に効果あるのか?
#マジで知らないから聞いているのだけど。

マニュアル通りにしか動けない香具師に、通常業務を
やらせるためのツールだと認識していたのだが。


482 :DNS未登録さん:2007/02/20(火) 00:57:57 ID:???
webminはコマンドラインですべて処理できる人が
二日酔いでコンソール見たくないときに使う、っていう感じかな。
正直不親切かつ英語日本語ぐちゃぐちゃだし
たまに翻訳間違ってて逆の意味になってたりと
かなり悲惨な内容だよ。
あれ使って設定できるなら、なんでも設定できると思います。



483 :DNS未登録さん:2007/02/20(火) 18:34:06 ID:???
>482
日本で使い物にならないのは良く分かった。
ただそれは翻訳の問題であって、webminの本質ではないだろう。

誰かが直せばよい訳だけど、webminの翻訳を直したからと言って、
自己満足は得られないし、他人からも尊敬されるより「あ、
webminの人だ(W」と思われそうで嫌だ。仕事でも避けたいな。

かくしてwebminは永遠に使い物にならんのだよね。

484 :DNS未登録さん:2007/02/21(水) 12:25:30 ID:RfFxHiCZ
どこで聞けばいいのかわからなかったので、
スレ違いかもしれませんが宜しくお願いします。

SSLが利用可能なサーバ(Xrea)を使用しているのですが、
フォームメール(メールを送るcgi)のページを、
IEの右下に鍵がついてる状態にすれば、安全に通信ができるのでしょうか?
たいした内容が送られてくるわけではないですが、
使えるなら使いたいなと思っています。

485 :DNS未登録さん:2007/02/21(水) 16:21:32 ID:???
SSLも知らない馬鹿は使うな
つか、ググレ

486 :DNS未登録さん:2007/02/21(水) 16:37:57 ID:???
そうするとメールもSSLで誰にも内容等が途中で覗かれる心配なく自分の手元に来るとでも思ってんじゃないか。

487 :DNS未登録さん:2007/02/21(水) 17:00:21 ID:RfFxHiCZ
>>486
文章は暗号化されるけど、
通信経路が暗号化されてないと意味がないということでしょうか?


488 :DNS未登録さん:2007/02/21(水) 18:05:05 ID:???
見当外れもいいところ。

本を読むか、くだ質スレでエスパーキラーの降臨を待て。
取りあえずこのスレでは聞かないのがおまいのためだ。

489 :DNS未登録さん:2007/02/28(水) 05:14:10 ID:???
スレ検索で来ました。なかなかSSLに関するスレってないのですね。
貧弱ベンチャーなんでやっすい証明書を探していたのですが、
おかげさまで最安と思われるRegisterFlyに特攻できます。

では、逝ってきます…

490 :DNS未登録さん:2007/03/01(木) 00:04:10 ID:???
RegisterFlyは絶対駄目。
電話もメールもつながらなくて、卸元eNomからリセラー契約強制解除された。
http://www.enom.com/news.asp?artID=a97

491 :DNS未登録さん:2007/03/01(木) 00:32:31 ID:???
>>490
それはドメインであってSSLには影響しないのでは?

492 :DNS未登録さん:2007/03/01(木) 11:49:17 ID:???
>491
eNomからreseller契約を切られたと書いてあるから、当然
証明書もNGだろう。そもそも電話もメールも届かない時点で、
マトモに業務をやっているはずが無い。

493 :DNS未登録さん:2007/03/01(木) 15:01:29 ID:???
UTNの評判が悪いところ申し訳ないが、

仕事のメールに
UTN-USERFirst-Client Authentication and Email
の証明書(無料)を使ってるんだけど、何か問題あるのか?

今のところ、長らく WindowsUpdate をしていないであろう人から
「ドクロが出た」との報は受けたが、その1件だけ

494 :DNS未登録さん:2007/03/02(金) 18:30:32 ID:???
グローバルIPアドレス不要で独自ドメインSSL

NonIP SSL
http://geotrust.co.jp/partner/non_ip.html

需要あるのかな?

495 :DNS未登録さん:2007/03/02(金) 19:28:58 ID:???
SSL 自体、ドメイン名と紐づくわけだから
取れてしまえばIPアドレスと無関係じゃん

何を言ってるんだか

496 :DNS未登録さん:2007/03/02(金) 20:33:48 ID:???
同一IPアドレスのバーチャルホストでは別々の証明書使えないはず。
これはsslの制約上しかたがない。
だからこそ共用サーバ事業者向けなんだろ。
ただ、最後のシステム概要で
https://secure.▼▼▼.com/●●●/○○○.html
に線引いてるあたりの意味がよくわからん。

497 :DNS未登録さん:2007/03/02(金) 23:15:07 ID:???
ユーザー -> GeoTrust鯖で変換 --> 鯖
って形みたい。
ドメイン名によって振り分けるプロキシSSLみたいなもののようだ。
GeoTrust鯖で割り当てるIPは1つで問題ないらしい。

498 :DNS未登録さん:2007/03/03(土) 23:25:02 ID:???
> GeoTrust鯖で変換 --> 鯖
この間の通信はどうやって保護すんのかな?VPN?
GeoTrust鯖のIPが1つだとすると対応する証明書はどうやっても1つだよね?
ワイルドカード証明書以外で複数ホストに対応した証明書って作れるのかな?

499 :DNS未登録さん:2007/03/03(土) 23:30:50 ID:???
>>492
eNomといえば問答無用でVALUE DOMAINの代理店業務を止めた事件があるからeNom側の発言だけでは信用できないなあ。

500 :DNS未登録さん:2007/03/04(日) 13:38:20 ID:???
flyダメになったのか。
他にいいところない?

501 :DNS未登録さん:2007/03/08(木) 14:35:27 ID:7/A+H1wm
SSL今落ちてない?
SSL使う認証のところGooもほかのとこもだめなんだけど?


502 :DNS未登録さん:2007/03/08(木) 14:45:03 ID:7/A+H1wm
SSLの関係者はここ見てる?
SSL今落ちてない?
SSL使う認証のところGooもほかのとこもだめなんだけど?
メールチェックもできない
さっさとなおしやがれ


503 :DNS未登録さん:2007/03/08(木) 20:05:21 ID:???
>>501,502
SSLのこと理解できてるのかな、この人?

504 :DNS未登録さん:2007/03/08(木) 22:24:24 ID:???
多分わかってないよね。爆

505 :SSL関係者:2007/03/09(金) 01:18:59 ID:???
何か質問はありますか?

506 :DNS未登録さん:2007/03/09(金) 08:04:38 ID:???
>>505
ねぇよ(笑)
っていうか『SSL関係者』って呼び方間違ってると思うよ?

507 :DNS未登録さん:2007/03/09(金) 21:59:30 ID:???
>>506
ネタにマジレスすんな。

508 :DNS未登録さん:2007/03/10(土) 05:42:23 ID:???
RegisterFly の証明書、無事にセットアップできました。
さて、奴が退場した場合に備えて2番手を探しておくか…w

509 :DNS未登録さん:2007/03/11(日) 01:24:45 ID:???
RegisterFlyの証明書、中間証明局にRegisterFlyが入っているんでここがつぶれると
使い物にならなくなるよね?
ググってみるとRegisterFlyの雲行きは半端でなく怪しいんで、一年ものでも今から
買うのはまずいよなあ…。
倒産する前にためしで一度使ってみたいけど、どうしたもんだろう。

510 :DNS未登録さん:2007/03/12(月) 00:43:50 ID:???
RegisterFlyが潰れたからと言ってRootCAが即刻チェーン切ることは無いんじゃね?

511 :DNS未登録さん:2007/03/12(月) 19:37:51 ID:???
証明書は実在証明だから、潰れた時点で切られてもおかしくないんじゃね?
まぁ多少の猶予期間はあるとは思うが

512 :DNS未登録さん:2007/03/13(火) 00:03:09 ID:???
そもそもRegisterFlyのSSLってenom絡んでないんじゃないの?
てっきりcomodoと直接契約か何かだと思ってたんだけど。

513 :DNS未登録さん:2007/03/13(火) 13:05:30 ID:???
中間CAが行方不明になっても、そのCAの証明書があればOK。
設定方法は、買ったCAが何か資料を用意しているはず。

#いま外なので、具体的なことは覚えていない。Apache2.0+mod_ssl
 なら自分が知っているCAの証明書を登録できる。多分通常のssl接続で
 使うのではないかと。



514 :DNS未登録さん:2007/03/13(火) 14:00:00 ID:???
>>513
そりゃ中間証明書の話だろう。
RootCAがその中間認証局のチェイン切っちまえばおわりだよ。

515 :DNS未登録さん:2007/03/14(水) 00:34:55 ID:???
>514
だから、
・これまでに買ったホスト証明書はチェイン使える。
・今後は同じルートCAの証明書をその業者からは買えない。
という当たり前の事なんだが。

いま認証チェーンを切っても、リアルタイムに反映される
ものじゃないんだが。

公開鍵の弱点の一つが、リボケーションリストの管理が必要
ってことぐらい知っていてくれ。


516 :515:2007/03/14(水) 00:42:34 ID:???
アホな編集ミスしてしもうた...orz
×これまでに買ったホスト証明書はチェイン使える。
○これまでに買ったホスト証明書は使える。

認証チェインはいったん発行されると、事実上その
有効期限までは切る事ができない...というか、切る
という行為そのものが存在しないんだよ。
#世の中すべての計算機でリボケーションリストを
 共有かつ強制する方法があれば別だが。

契約違反で訴えられる覚悟があれば、上位CAから認証
されている秘密鍵の有効期限までのホスト証明書なら、
いくらでも作れる。証明書なんてその程度のものなんだ
よ。


517 :DNS未登録さん:2007/03/14(水) 04:10:21 ID:???
RegisterFlyの支払い手段がPayPalのみになってる。
クレジットカード会社から切られたのかな?

518 :DNS未登録さん:2007/03/15(木) 00:21:44 ID:???
中間証明書をCRLに載せることってできるの?
これが可能ならその中間証明書以下はすべて無効にできると思うけど。

519 :DNS未登録さん:2007/03/15(木) 18:00:41 ID:UCOt490N
要は、べりサインの公開鍵から秘密鍵を割り出せば、SSLを発行し放題というわけだ。
素数理論を勉強して割り出してみよう。

520 :DNS未登録さん:2007/03/16(金) 01:41:15 ID:???
仕方がないと言えば仕方ないのかもしれないけど・・・
自分のドメインメアド宛に送信されてくるメールで取得作業が進む方式はWeb鯖だけしか立ち上げるつもりがない場合、
メールサーバを一時的にしろ立ち上げておかなきゃならないのは面倒だね・・・。
まあ、セキュリティを一切考えなきゃ左程労力はかからないんだろうけど。

個人鯖(金銭は一切絡まない)なら俺俺証明で我慢しておけってことなのかなぁ。
そもそもSSL利用ページ自体が一切ない訳だが・・・(単に自己満足の為だけに取得を検討)。

521 :DNS未登録さん:2007/03/16(金) 14:51:36 ID:???
>520
つ [ rep2 ]

au携帯からも安全に接続できるぞ。安い証明書では無理な事もあるので要確認。

#オレオレ証明書でも、DoCoMo, Softbankは警告が出るが接続可能らしい。
 頻度は知らないので、使い物にならないぐらい出るかもしれんが。


522 :DNS未登録さん:2007/03/16(金) 23:26:43 ID:???
電子証明書と電子認証書って同じものなの?

523 :DNS未登録さん:2007/03/17(土) 01:42:39 ID:???
>>522
Certificateの訳語が違うだけじゃないのか?

524 :DNS未登録さん:2007/03/19(月) 05:08:20 ID:???
http://www.icann.org/announcements/announcement-2-16mar07.htm
RegisterFly、ICANN公認レジストラ契約も解除される。
もう駄目だな。SSLが使えなくなるのも時間の問題。
というかさ、あちこちで連絡が付かないって書かれている。

525 :DNS未登録さん:2007/03/19(月) 08:17:16 ID:???
>524
だから、すでに発行されている証明書は大丈夫だと何回いったら(ry
金払って、まだ発行されていない香具師は救われないが。

526 :DNS未登録さん:2007/03/21(水) 14:55:26 ID:???
>>525
CRL鯖が落ちたら紙屑同然では?>証明書


527 :DNS未登録さん:2007/03/21(水) 17:01:29 ID:???
CRL鯖ってナニ?

もしかして SSL で通信する際には、その都度証明書を発行した証明局に
アクセスしに行ってるとでも思ってる?

528 :DNS未登録さん:2007/03/21(水) 21:40:38 ID:???
http://e-words.jp/w/CRL.html
CAが死んだらCRLが出なくなるから、数日〜1ヶ月後以降、証明書は信頼できないとみなされる。
#OCSPほどアクセスは頻繁じゃないが


529 :DNS未登録さん:2007/03/22(木) 00:53:51 ID:???
は? CRL が出ないんだったら証明書は有効でしょ?


530 :DNS未登録さん:2007/03/22(木) 01:32:42 ID:???
つーか、CRLをいちいちすべての証明書に発行するんなら
RegisterFlyに対してARL出されると思うけど?

ARL(Authority Revocation List)
証明書失効リスト
CRL(Certificate Revocation List)は認証局(CA)が発行する利用者つまり端末やユーザーレベルの失効リストであるのに対して、ARLはサーバなどの認証局レベルの証明書失効リスト。
http://www.atmarkit.co.jp/aig/02security/arl.html

531 :DNS未登録さん:2007/03/22(木) 02:57:21 ID:???
>>529
弾くのが普通では?

532 :DNS未登録さん:2007/03/22(木) 10:37:15 ID:???
>>530
ARL を扱えるアプリなんてほとんどないから安心しろ。
openssl はただの CRL でも扱いに問題ありと言われてるぐらいだし。


そもそも CRL がどこで公開されているかがわからないと、
CRL が発行されたこと自体に気がつかないからまったく意味がないし、
現実に CRL 不明なものがほとんど。
以前 Microsoft 社員のニセモノにベリサインがホンモノの証明書を
発行してしまった事件があったが、これがまさに CRL の場所が不明なものだった。
もちろん CRL は発行されたが、SSL を使うアプリは CRL が出たことを知る方法がない。
この場合は MS01-017 として CRL が Windows Update で配布されたが、
これは Microsoft だからできたことであって、一般的には CRL の URL が
不明な証明書を確実に失効させる手段はない。


533 :DNS未登録さん:2007/03/23(金) 01:11:54 ID:???
>>532
あったあったそういうのが昔w

つーかCRLというしくみ自体がもう破綻してるだろw


534 :DNS未登録さん:2007/04/09(月) 01:12:36 ID:c4JV838v
SSLで使われるデジタル証明書について質問させてください。

一般的に、CAに登録されているデジタル証明書から、
通信している相手方の特定は可能なんでしょうか?

ベリサインなんかのリポジトリに登録されている有名サービス(ネットバンキングやショッピング)の証明書を調べても、
証明書の「サブジェクト」に登録されている企業名と市区町村ぐらいまでしか確認できず、
相手方の特定に至れる情報は見当たりません。

なんか似たような企業名を騙って、余裕で詐称できてしまうような気がするんですが・・・
CAって通信の相手方の存在を証明してくれてるんでしょうか?


535 :DNS未登録さん:2007/04/09(月) 03:26:02 ID:yLOIlCTY
ht★tp://77.xmbs.j★p/kid66666/←★は抜いてね!
◎マル秘!総合サイト! m(__)m《どろろ》m(__)m
超人気!完全決定版です!ホスト掲示板・風俗掲示板お水掲示板・総合掲示板
ブラックOK!必殺金融屋!超激安噂の車屋さん☆
このサイトを知らない者は必ず損します(--;)!!

536 :DNS未登録さん:2007/04/09(月) 07:29:53 ID:???
>>534
今一言いたいことが分からんが、SSLサーバー証明書は
「その証明書の発行先サイトが確かに当該証明書に記載されている個人・団体に属していること」をCAが証明するもの
確かに似たような企業名を騙って取得することは可能だろうがそこまで言い出したらきりがない
それこそ電話で聞けって話になる

537 :DNS未登録さん:2007/04/09(月) 12:43:24 ID:???
>>534
例えばベリの場合だと、法人が証明書取るには少なくともちゃんと登記されてることが条件になります。
ダミーの会社を登記してまで…っていうと、かなり大掛かりですよね。
まー不可能ではないですけど。

そこまでやんなくてももっと簡単に引っかかる人は多いだろうから
単に「ベリを詐称した勝手ルート証明書」の方がお手軽でいいんじゃないかな。
どうせ詐欺だし。

538 :DNS未登録さん:2007/04/09(月) 18:30:18 ID:fJqknksZ
回答ありがとうございます!
>>534さんが仰るとおり、
「その証明書の発行先サイトが確かに
当該証明書に記載されている個人・団体に属していること」ということで、
公開鍵基盤は、相手の身元をCAが保障することに意味があると自分も解釈しています。

ただ、個人的に疑問に感じたのは、
相手の身元を特定するには、サブジェクトに格納している情報が余りにも少なすぎるのでは?ということです。
例えば三井住友銀行のネットバンキングの証明書は、
サブジェクトに以下の情報を格納しています。

 CN = direct.smbc.co.jp、O = SUMITOMO MITSUI BANKING CORPORATION
 L = Chiyoda-ku、S = Tokyo、C = JP

千代田区の"三井住友銀行"というふうに有名どころであれば、なんとなく納得してしまいますが、
例えば相手方サーバーの電子証明書に、
以下ののような情報が格納されているとしましょう。

 CN = www.suzuki.co.jp、O = SUZUKI SHOJI
 L = Nakano-ku、S = Tokyo、C = JP

この場合、ブラウザを操作する側で確認できるのは、
「中野区の"スズキショージ"を名乗る誰かが、
"www.suzuki.co.jp"というサーバーを運営している」ということだけで、
ブラウザが提供するSSLの仕組みの中では、
それが「鈴木商事」なのか「スズキ商事」、
はたまた個人の「鈴木正二」なのか、判断することはできません。

CAへの登録にあたっては、クラスに応じて各種の確認手続きがあるのは知っていますが、
それらの情報は証明書のコンテンツとしては反映されないのが一般的なんでしょうか・・・?
だとすれば、PKIの意義って・・・?長文すみません。

539 :534:2007/04/09(月) 18:45:29 ID:fJqknksZ
名前入れ忘れました・・・。

>>536さん
確かにダミー会社を登記してまでというのはケースとして稀でしょうね。
ただ、サーバー運営側に悪意がなくても"取り違え"の可能性は有り得るわけで・・・。

結局のところ"取り違え"と"なりすまし"の違いというのは、
サーバー運営側の悪意の有無という、主観的な要素でしかないような気がします。

PKIの徹底した管理が詐欺対策につながるのは何となくわかるのですが、、
それより前提となる身元保障が多くのPKIでちゃんと機能しているのか?
というのが、今回の疑問でした。

なんか、無知でうまく説明できなくて申し訳ないです!

540 :DNS未登録さん:2007/04/09(月) 19:08:56 ID:???
>>539
なるほど。

CA側では基本的には法人は登記と突き合わせていると思いますが
証明書上は(少なくともベリでは)商号は英文表記ですから
利用者が実際に登記と突き合わせようとした場合、問題となることはあるかもしれません。

法人の場合、電子証明書により「登記上での実在性」までは証明できるものの
具体的にどの法人のことなのか?ということまでは電子証明書だけではわからないケースもある、と。

少なくともCA側が法人を取り違えることは「アッテハナラヌコト」のようには思いますけどね。


しかし「ちゃんと登記されてる会社だから大丈夫」って保証はどこにもありませんよね。
詐欺ならまだともかく、ちゃんとした悪徳商法(笑)なんかの場合だと。


541 :DNS未登録さん:2007/04/09(月) 19:10:27 ID:???
>>539
>それより前提となる身元保障が多くのPKIでちゃんと機能しているのか?

これについては、少なくともPKIの仕様や機能上の問題ではなく、CAの運営上の問題ですよね。

542 :DNS未登録さん:2007/04/09(月) 19:11:14 ID:???
コモンネームとホスト名が一致しなければいけないから、
そのドメインネームを好きにできる必要があるので
「取り違え」で成りすましは行えないと思う。

あと、多くのCAはCRT以外にいわゆる「セキュアサイトシール」も併用して
存在証明の機能を持たせているね。

543 :DNS未登録さん:2007/04/10(火) 13:40:07 ID:???
https なんて実質的には盗聴防止だけだろ?
それ以上を求めちゃいかん

544 :DNS未登録さん:2007/04/10(火) 15:06:13 ID:???
>>543
という考え方もそらあるだろうけど。

でもオレは、ネットバンキングのパスワード変更ページとか
ネット通販等でクレジットカード番号入力させるページとかの
SSL証明書の素性は気になるよ。

そもそもあてにならんのだから、そういうもの一切を使わないというのなら話しは別だろうけど。
(本当はそれが一番いいんだろうけどね)

545 :DNS未登録さん:2007/04/11(水) 01:41:03 ID:???
SSLの存在証明なんて気にしてるやついるのかね?
おいらの中では暗号化だけされてればいいって感じ。
フィッシングにひっかかったら考え変わるかもしれないけどw

546 :DNS未登録さん:2007/04/11(水) 01:58:47 ID:???
SSLクライアント認証
これが一般的にならない限り中途半端(単なる暗号化)のままで行くだろうね。

547 :DNS未登録さん:2007/04/11(水) 12:30:03 ID:???
正規の法人だって、いよいよ困れば詐欺る可能性もあるわけだし
そもそも安全って一体なんだ?の話になる

だから存在証明だのなんだの(IE7から付いたアレとか)は証明機関の儲けネタに過ぎない
まぁISOのアレとかPマークのアレと大差ないわけよ

548 :DNS未登録さん:2007/05/30(水) 16:24:47 ID:???
日本ジオトラストがグローバルサインになるんだな。
欧州のルートを傘下に入れて独自ルートで証明書を販売するらしい。

ジオトラストブランドはベリサインが引き続き販売する。


549 :DNS未登録さん:2007/05/31(木) 14:07:44 ID:???
ttp://www.verisign.co.jp/server/about/2006rollover/ssid/index.html
6月になろうってのに詳細日程でてない。


550 :DNS未登録さん:2007/06/01(金) 08:43:06 ID:???
日本クロストラスト、業界初の日本語対応 EV SSL証明書の提供を開始

日本クロストラスト株式会社(本社:東京都千代田区、代表取締役:秋山 卓司、以下日本クロストラスト)は
日本国内の法人を対象に、世界統一の厳格な審査プロセスによって発行される、
EV SSLサーバ証明書「Enterprise EV SSL」及び「Enterprise EV SSL Premium」の提供を5月31日より開始します。

ttp://crosstrust.co.jp/evssl.html

551 :DNS未登録さん:2007/06/03(日) 06:02:08 ID:???
質問!!
opensslって数日〜数十日後にすぐ新しいバージョンが出ますよね。
再インストールしたほうがいいのですか?

552 :DNS未登録さん:2007/06/04(月) 15:11:40 ID:???
OpenSSLはメモリリークがすごくて大変だと思うんだが、使ってる奴がいることが驚き。

553 :DNS未登録さん:2007/06/04(月) 16:45:02 ID:???
> 552
最近の鯖はよっぽど酷くない限り、メモリリークぐらいじゃ落ちないからな。
OpenSSLは具体的に何をした時に何バイトリークするのかな?
数バイトなら、Gbyte単位の主記憶に比べれば誤差の範囲だよ。
とは言えメモリリークが無い方が良いのは確かだが。
特に組込系は大変そうだ。

554 :DNS未登録さん:2007/06/04(月) 18:41:01 ID:???
>>552
opensslって普通使わないものなんですか!?

555 :DNS未登録さん:2007/06/04(月) 19:39:06 ID:???
>554
使ってる所もあるけど、細かくメモリリークしていくんで、ほんと組み込みとかは大変で、
超安定ってレベルはスゲー難しいんじゃねーかな。

バージョンが上がってリークも増えたり、手元に調べたドキュメントが古くなったり、
タダだと思って使うと大変だよ。

まあ、苦労すれば使えるようになることは確かだけど。

556 :DNS未登録さん:2007/06/04(月) 22:46:18 ID:???
メモリリークしているのは552の頭だったというオチ。

557 :DNS未登録さん:2007/06/05(火) 01:07:33 ID:???
553が完全に無視されてる件について。

558 :DNS未登録さん:2007/06/05(火) 02:56:04 ID:???
無知ですみません。
ずっとOpenSSL使ってました。
OpenSSL SSLeay Apache-SSL mod_ssl
何を使うべきですか?

559 :DNS未登録さん:2007/06/05(火) 22:32:08 ID:???
>>557
別にコメントするように内容じゃないだろ。

構って君なの?

>>558
別に OpenSSL で困ってないなら、そのまま使えばいいんじゃね。

560 : ◆tsGpSwX8mo :2007/07/24(火) 15:37:04 ID:???
保守

561 :DNS未登録さん:2007/08/18(土) 23:51:34 ID:???
hosyu

562 :DNS未登録さん:2007/08/26(日) 14:26:04 ID:K2mYYXE3
SSLに詳しい人に聞きたいのですが、
GmailでhttpsでSSL接続してるのですが、SSLってブラウザで送信した内容が
全部暗号化されるのですか?
Webメール(Gmailはメールの内容も暗号化されるのこと)の送信先も暗号化されるのか
疑問に思ったので・・・
SSLの暗号化の範囲ってどこまでなんでしょうか?

563 :DNS未登録さん:2007/08/26(日) 18:12:35 ID:???
>>562
httpsの暗号化はhttp層の全て。
httpのリクエストやレスポンスのコンテンツだけでなく、URI (URL)そのものも暗号化される。

従って万が一第三者が盗聴したとしても「どこと通信したのか」までしか解らず、
「どのURI(URL)を読んだ(ポストした)のか」や「内容そのもの」は解らない。

gmailで言えば「gmailと通信した」ことはわかっても、メールを読んだのか書いたのかは
解らないし、内容についても解らない。

564 :DNS未登録さん:2007/08/26(日) 19:20:55 ID:K2mYYXE3
>>563
さんきゅ、よくわかったよ。

565 :DNS未登録さん:2007/09/09(日) 02:32:21 ID:???
でも、gmail鯖出たら、メール本文が暗号化されて無い限り大体無力だよ。
気休めぐらいに考えておくのが吉。

566 :DNS未登録さん:2007/09/10(月) 19:19:58 ID:???
>>565
??


567 :DNS未登録さん:2007/09/11(火) 16:50:22 ID:???
gmailの中の人が盗み見することを防ぐならば、という意味だろ

568 :DNS未登録さん:2007/09/11(火) 19:10:37 ID:???
gmail鯖出たらっていってんだから、popで受信したり他のメール鯖に転送したらってことだろ。

569 :DNS未登録さん:2007/09/12(水) 00:54:53 ID:???
>>562に便乗して質問です。例えば学校の情報センターのPCを使って
Gmailでメールを読み書きしていたとすると、そのメールの内容がセンターの
管理人とか同一LAN内でパケットキャプチャをしている人にばれてしまう
可能性はありますか?

570 :DNS未登録さん:2007/09/12(水) 01:11:35 ID:???
gmail鯖と通信してることは分かっても
通信内容は暗号化されているから分からない

571 :DNS未登録さん:2007/09/12(水) 02:05:06 ID:???
わかった。ありがとう。

572 :DNS未登録さん:2007/09/12(水) 22:48:10 ID:???
当然 http: だとだめだぞ

573 :DNS未登録さん:2007/09/13(木) 22:08:49 ID:???
関係ないけどRegisterFlyから$1.00引きクーポンが送られてきたよ。
これを機にお遊びサーバ用のSSL証明書をいくつか買っておくか。

574 :DNS未登録さん:2007/09/18(火) 13:05:39 ID:???
携帯でつかえるやつでやすいところでてない?
triton(だっけ?)はもうつかえなくなったので
探してたんだけど、今のところは最安は以下。
http://www.servertastic.com/default.asp?
quicksslのpremium


575 :DNS未登録さん:2007/09/18(火) 23:02:12 ID:???
>>574
ここ安いね。
Paypal対応はありがたい。

576 :DNS未登録さん:2007/09/19(水) 18:36:12 ID:mLiy0LX8
rapidsslを契約しサーバーに設定終わったので
以下のページを参考にサイトシールを設置しようと
OU確認したら表示が異なっていてクリックしたら表示するページを設定できない
ttp://onlinessl.jp/support/starterssl_seal.html

ChoicePoint/Businessprofileサポート終了のお知らせ
ttp://onlinessl.jp/content/11_11_06.html
ってなってるからたんにシール(画像)を設置するだけになってしまったてことでOK?

577 :DNS未登録さん:2007/09/19(水) 21:17:25 ID:???
>>574
QuickSSL PremiumってルートはEquifax Secure Certificate Authorityになるのか。
たしかに3キャリアとも新しい端末なら対応してるな。


578 :DNS未登録さん:2007/09/19(水) 22:40:06 ID:???
PremiumじゃないQuickSSLも今はEquifax Secure Certificate Authorityだと思った。
日本じゃ扱ってるとこ少ないけど。

579 :DNS未登録さん:2007/09/20(木) 22:00:11 ID:???
>>576
rapidsslはサイトシールが使えないってこと?

580 :DNS未登録さん:2007/09/21(金) 17:05:15 ID:???
>>576,579

同じく気になったが、自己判断・認識のレベルで。。

ttp://onlinessl.jp/content/compare.html
・(gif画像)となっているので シールは画像のみ。

・「会社のビジネス・プロフィールをChoicePointへ自動登録」が無くなったので
 「登録情報がありません」になる(FreeSSLで試したところ)。
 サポート終了前に自動登録されたものは情報が出るみたい。

・ChoicePointの顧客情報漏洩で登録しないことになったのでは?

こんな感じ?

ChoicePoint に自分で登録する方法とかあるのだろうか?
ちょっとみつけきれなかった。

581 :DNS未登録さん:2007/09/21(金) 20:44:30 ID:???
来月の更新からジオトラスト→グローバルサイトに変更になるらしいんだけど、
GMOのサイト見る限りグローバルサインって携帯全滅っぽい...orz
これってやばくね?

582 :DNS未登録さん:2007/09/21(金) 23:41:05 ID:???
全滅って事はないだろうが、まぁカバーできる範囲は狭いな

っていうか随分前にその話題出てた気がするが、今更慌ててるのか?

583 :DNS未登録さん:2007/09/22(土) 10:05:26 ID:???
>>580
サンクス
「ChoicePointに自分で登録」 これを調べてみるわ

584 :DNS未登録さん:2007/09/22(土) 13:53:02 ID:???
>>582
GMOからいろいろ案内がくるわりには、
一番大事なこといってくれないから
更新直前まで気づかなかった。
わざわざ高いお金払って、GMOブランドで安心を買ってたのに...
やっぱり他人まかせはダメだわ。

グローバルサイン 携帯
au by KDDI ×
NTT DoCoMo ×
SoftBank Mobile ○
WILLCOM  △



585 :DNS未登録さん:2007/09/22(土) 15:25:14 ID:???
認証局が変わる件は半年ぐらい前に案内きてた気がするが・・・

586 :DNS未登録さん:2007/09/25(火) 02:20:19 ID:???
ChoicePointのプロフィールってDisclaimerも表示されてて、
プロフィールは自己申告で情報は全く確認はされていませんって書かれてて、
なんだか印象悪いから、わざわざリンクさせてまで表示する必要は無い気がするよ。

と言って、うちのクライアントには勧めなかったw


587 :586:2007/09/25(火) 02:22:21 ID:???
日本語がおかしくてすまんorz

588 :DNS未登録さん:2007/09/25(火) 17:33:31 ID:???
>>584
GeoTrust本家かリセラーで更新したらよろしいかと。

589 :DNS未登録さん:2007/09/26(水) 09:58:11 ID:???
>>584
GlobalSign Root CAになるとしたらSoftBankも△じゃないか
ttp://triaez.kaisei.org/~kaoru/ssl/cell.html

携帯で使いものにならんことにはかわらんが。

590 :DNS未登録さん:2007/09/26(水) 15:37:42 ID:???
GMOに問い合わせたら、
ドコモとauは年末以降に発売のモデルより順次対応予定らしい。
で、GMOで引き続きGeoTrustの更新もできるらしい。
あと一年はGeoだな。

591 :DNS未登録さん:2007/09/27(木) 00:39:39 ID:???
ってことは再来年になるまで使い物にならんってことだな

592 :DNS未登録さん:2007/09/28(金) 14:36:59 ID:???
0円携帯廃止で機種変ペースが落ちるだろうからさらに厳しいな...

593 :DNS未登録さん:2007/10/01(月) 07:59:55 ID:???
2001年以降の携帯端末に対応させたいならベリサイン、GTE CyberTrust(セコムトラスト含)みたいな感じ?
日本語対応の契約サイトだとhttp://ritenn.com/comodo/とか結構安くない?
他に良いところがあったらおしえてにょろ。

594 :DNS未登録さん:2007/10/01(月) 23:34:43 ID:???
>>593
そこCOMODOじゃねーかw

595 :593:2007/10/02(火) 17:45:29 ID:???
てことは現在は2001年以降の携帯端末対応じゃないのかしらん。。
業務でどれを使えばいいかなやむにょろ。

596 :DNS未登録さん:2007/10/03(水) 23:14:00 ID:???
2001年からならベリサインしかないな

597 :DNS未登録さん:2007/10/04(木) 11:48:19 ID:???
GTE CyberTrustは?

598 :DNS未登録さん:2007/10/04(木) 15:32:52 ID:???
GTE CyberTrustは2001年以降だと微妙かもしれんぞ。
Global Rootがのってる端末はOKだが、それ以外は有効期限切れになってるんじゃまいか?

599 :DNS未登録さん:2007/10/05(金) 07:23:41 ID:???
2001年の頃の携帯ユーザーは切り捨ててもいいんじゃね?


600 :DNS未登録さん:2007/10/06(土) 02:07:44 ID:???
http://www.secomtrust.net/service/ninsyo/mobile_SSL.html
これ見る限りgteは問題無さそうだが。

601 :DNS未登録さん:2007/10/29(月) 20:29:52 ID:???
no IP SSLについて教えてくれないか

602 :DNS未登録さん:2007/11/26(月) 12:08:37 ID:???
ネット通販利用者のSSL認識度合いとか必要必須としている割合とか。。
そんな市場調査した情報ない??

いや、利用者が気づいているかどうかは別にして?!責任としてSSLは使っているんだがね。。

603 :蕪木ら某 ◆Googl8RmwA :2007/11/26(月) 23:05:22 ID:???
>>602
ttps://www.verisign.co.jp/press/2007/pr_20071120.html
etc.     ~~~~~~~

604 :DNS未登録さん:2007/11/26(月) 23:41:23 ID:???
業者が自分のとこに不利な統計出したりせんだろ
SSLシール云々なんかいちいち気にしたことあるか?

605 :602:2007/11/27(火) 00:33:56 ID:???
>>603 thx

ttp://www.macromill.com/client/r_data/trendview/20051001privacy/index.html
こんなんも見つけた(同様なグローバルサインからたどって。。)

606 :DNS未登録さん:2007/11/27(火) 02:10:10 ID:???
SSLはよく言われるよねー。鍵マーク云々ってメディアでよく報道してるから。

でも正直SSLがかかってなかったから情報漏洩しますた、って事例全然聞かないよね。

607 :DNS未登録さん:2007/11/27(火) 07:56:26 ID:???
>>606
野良無線を活用する際には必須でつ

608 :DNS未登録さん:2007/11/28(水) 04:44:26 ID:???
まぁなwあと、野良proxyもか。
でも、PacketiX使ってた方が安心だな。httpも暗号化できるし。

609 :DNS未登録さん:2007/12/23(日) 16:45:09 ID:???
安いところのメモ

シングル
Positive SSL ($9) Comodo 保証金無
http://www.positivessl.com/

FlySSL ($9.99)
http://www.registerfly.com/ssl/

RapidSSL (直販 $69)
http://www.servertastic.com/ ($12.5)
http://www.namecheap.com/learn/other-services/ssl-certificates.asp ($12.88)


ワイルドカード
FlySSL Wildcard ($119.99)
http://www.registerfly.com/ssl/

RapidSSL Wildcard (直販 $199)
http://www.namecheap.com/learn/other-services/ssl-certificates.asp ($125.88)


ワイルドカード(台数無制限)
DigiCert SSL Wildcard ($495)
http://www.digicert.com/wildcard-ssl-certificates.htm


番外
CAcert 無料 オレオレ証明書
http://www.cacert.org/

StartSSL 無料 Firefox,Safariなど対応
http://cert.startcom.org/
対応ブラウザ一覧
http://cert.startcom.org/?app=140


610 :DNS未登録さん:2007/12/23(日) 17:18:17 ID:???
EV SSL(強化認証SSL)のメモ(国内)

Toriton,Inc.(Comodo) (http://www.trustlogo.co.jp/products/ev-ssl-certificate.htm)
EV High Assurance SSL Certificate ¥75,600
EV High Assurance SSL Certificate with SGC ¥94,500

グローバルサイン (http://jp.globalsign.com/service/ssl/ev.html)
EV SSL ¥134,400 (12/31まで ¥99,750)

セコム (http://www.secomtrust.net/service/ninsyo/forwebev.html)
セコムパスポート for Web EV ¥141,750

日本クロストラスト(Comodo) (http://crosstrust.co.jp/enterprise_ev_ssl.html)
Enterprise EV SSL ¥165,900
Enterprise EV SSL premium (SGC対応) ¥207,900

ベリサイン (http://www.verisign.co.jp/server/products/ev_ssl/index.html)
セキュア・サーバID EV \170,100 (1/21まで \153,090)
グローバル・サーバID EV (SGC対応) \229,950 (1/21まで \206,955)


611 :DNS未登録さん:2007/12/23(日) 20:03:12 ID:???
StartSSL で証明書つくってみてぶち込んだけど Firefox2 も IE も文句いってきたぞ。
怠いからもうワイルドカードなオレオレにしたよ。

612 :DNS未登録さん:2007/12/23(日) 20:26:18 ID:???
>>611
IEは一覧にあるように対応していない。
ちなみに、Operaも対応していない。

↓はFirefoxで問題なく接続できるけど違う証明書なのかな?
https://cert.startcom.org/

613 :DNS未登録さん:2007/12/23(日) 22:30:33 ID:???
>>612
611 ですが、証明書を Firefox2 でみたら O か OU のどっちかが異なっていた。
今はもう使ってないから確認できない罠。
鍵探してあとで中身のぞいてみよ。

614 :DNS未登録さん:2007/12/24(月) 13:36:40 ID:???
EVは高いな〜

615 :609:2007/12/24(月) 18:43:56 ID:???
追加

ワイルドカード(台数無制限)
ipsCA WildCard Certificate ($276)
http://certs.ipsca.com/Products/ipsca_ssl_Wildcard_certificates.ASP

616 :609:2007/12/25(火) 01:08:23 ID:???
追加

シングル
OneStepSSL ($9 Positive SSLと同じ Comodo 保証金無 Paypal対応)
http://www.onestepssl.com/

ワイルドカード(台数無制限)
OneStep Wildcard SSL ($149 Positive SSL Wildcardと同じ Comodo 保証金無 Paypal対応)
http://www.onestepssl.com/

617 :DNS未登録さん:2007/12/25(火) 13:49:00 ID:4nofnCnC
保証金無だと安いですね。
保証金で助かった事例とかありますか?

618 :DNS未登録さん:2007/12/25(火) 14:40:38 ID:MAds2WxB
> 574
そこのQuickSSL (Premium無し)を買ってみたら、
Equifax Secure Certificate Authority
じゃなくて
Equifax Secure Global eBusiness CA-1
だった件。携帯使えない orz...


QuickSSL Premiumだと
Equifax Secure Certificate Authority
だから携帯使えるの?



619 :609:2007/12/26(水) 19:16:21 ID:???
追加

シングル(台数無制限)
Standard SSL ($19.99 Godaddy)
https://www.godaddy.com/gdshop/ssl/ssl.asp?ci=8979

ワイルドカード(台数無制限)
Standard SSL Wildcard ($199.99 Godaddy)
https://www.godaddy.com/gdshop/ssl/ssl.asp?ci=8979

620 :609:2007/12/26(水) 22:22:15 ID:???
>>616
今見たら値上げしていたので修正

シングル
OneStepSSL ($9 → $25 Positive SSLと同じ Comodo 保証金無 Paypal対応)
http://www.onestepssl.com/

ワイルドカード(台数無制限)
OneStep Wildcard SSL ($149 → $229 Positive SSL Wildcardと同じ Comodo 保証金無 Paypal対応)
http://www.onestepssl.com/

621 :DNS未登録さん:2008/01/07(月) 16:12:03 ID:0o8UARdW
ベリサインと同じ携帯とブラウザ対応度で
安くあげようとしたら、Thawteを選んどけばOK?

622 :DNS未登録さん:2008/01/13(日) 19:38:49 ID:???
>>621
Thawteじゃあかんやろ。


623 :DNS未登録さん:2008/01/14(月) 15:55:18 ID:???
>>622
Thawte SGC SuperCertならOKじゃないの?
そんなに安くないけど


624 :DNS未登録さん:2008/01/16(水) 15:13:31 ID:???
>>618
ttp://www.geotrust.com/buy/certificate_compare.asp
のUbiquityを見るとQuickSSL Premiumだと携帯OKで、QuickSSLだと携帯NG
のように見える。


625 :DNS未登録さん:2008/02/06(水) 02:33:35 ID:???
Win2003SBS上でFTP over SSLとHTTPSはどっちが実装が簡単?

626 :DNS未登録さん:2008/02/06(水) 11:37:43 ID:???
FTP over SSL は標準にはないと思うが

627 :DNS未登録さん:2008/02/10(日) 00:50:51 ID:???
FlySSLと同じ証明書が 7.99USD/年
https://ssl-online-store.com/

中間の証明書の設定ミスってるみたいでオレオレになってる。
ひどい


628 :609:2008/02/11(月) 15:26:50 ID:???
Positive SSL値上げ

シングル
Positive SSL ($9 → $33.95) Comodo 保証金無
http://www.positivessl.com/

629 :DNS未登録さん:2008/04/04(金) 22:56:57 ID:???
comodo値上げした??

630 :DNS未登録さん:2008/04/05(土) 21:26:56 ID:???
>>584
> GMOブランドで安心を買ってたのに

ここが根本的に間違っている。


631 :DNS未登録さん:2008/04/05(土) 23:07:09 ID:???
まあ、GMOは昔から色々言われてたりするから。
最近はどうか知らんけどね。

632 :DNS未登録さん:2008/04/08(火) 02:27:07 ID:???
>>630
ハゲどう

633 :DNS未登録さん:2008/04/19(土) 22:47:18 ID:???
Beyondさんが散々GMOの問題を告発しているのに、意外と知られていないんだね…

634 :DNS未登録さん:2008/04/23(水) 10:37:49 ID:???
あそこはググル八分だし。

635 :609:2008/04/26(土) 20:52:12 ID:???
>>619
今見たら値上げしていたので修正

シングル(台数無制限)
Standard SSL ($19.99 → $29.99 Godaddy)
https://www.godaddy.com/gdshop/ssl/ssl.asp?ci=8979


636 :DNS未登録さん:2008/05/10(土) 20:29:46 ID:8ForD27k
>>576
>>579
>>580

http://web.archive.org/web/20070416002918/http://www.onlinessl.jp/support/starterssl_seal.html



http://onlinessl.jp/support/starterssl_seal.html

RapidSSL サイトシールの効果から、証明書の提示が無くなってしまったのですが
どうにもならないのかな。

5年契約してしまっているのだが、契約の解除には応じないらしい。
明らかに虚偽広告だと思うのだが、泣き寝入りしかないのだろうか。


637 :DNS未登録さん:2008/05/12(月) 03:55:22 ID:???
オレオレ認証局最強

638 :DNS未登録さん:2008/05/12(月) 19:42:17 ID:???
これもオレオレ?

http://www.hazaiya.jp
http://www.hazaiya.jp/hazaiya_ssl.htm

639 :DNS未登録さん:2008/05/12(月) 23:33:08 ID:???
オレオレ認証局ってなんか名称変だよね
信頼できる方法で配れば一緒だろうに

640 :DNS未登録さん:2008/05/12(月) 23:39:11 ID:???
> 信頼できる方法
おしえて


641 :DNS未登録さん:2008/05/12(月) 23:48:01 ID:???
>641
直接本人から手渡し

642 :DNS未登録さん:2008/05/13(火) 01:39:55 ID:???
原始的に聞こえるけど、USの軍事施設とかでも
基本的には手渡しでやってるよね。

643 :DNS未登録さん:2008/05/13(火) 14:47:27 ID:???
>>638
これはひどい

644 :DNS未登録さん:2008/05/13(火) 20:32:12 ID:???
>>643
ん??

645 :DNS未登録さん:2008/05/13(火) 23:46:11 ID:???
サイトシールはパチモンつうか自分で画像貼ってるだけだけど
証明書自体は本物みたいな。

646 :DNS未登録さん:2008/05/14(水) 04:03:43 ID:???
証明書、同一サーバーの別のサイトのドメインがコモンネームに出てるじゃん
これはオレオレより悪質。

なお同一サーバー(厳密には同一IPアドレス)の別サイトは
ttp://www.myipneighbors.com/
ここで調べられる。


647 :DNS未登録さん:2008/05/14(水) 08:58:32 ID:???
すまんが、どのページのことだ?

648 :DNS未登録さん:2008/05/14(水) 10:20:41 ID:???
やりたいことがわからんw

元は自前のカートだったけど
今はレンタル鯖のカートに切り替えたとかか?

649 :DNS未登録さん:2008/05/14(水) 10:23:44 ID:???
>>638
グローバルサインに聞いてみた


>お世話になっております。グローバルサイン株式会社の○○と申します。
>この度はご連絡いただきまして、誠にありがとうございます。
>
>ホームページを確認しましたところ、問い合わせフォームに
>弊社の証明書が設定されておりましたが、レンタルサーバの
>共用SSLを利用されているようでございます。
>
>「www.hazaiya.jp」では、証明書を購入いただいていないため、
>シールを表示することができませんが、ページを自作し、不正
>に弊社のロゴを利用している状況でございます。
>
>こちらにつきましては、弊社より注意をさせていただきます。
>ご連絡いただきありがとうございました。

650 :DNS未登録さん:2008/05/15(木) 05:22:02 ID:???
ttp://www.hazaiya.jp
ttps://secure02.blue.shared-server.net/www.hazaiya-cgi.com/i/〜

サイトシールを置かなきゃ良いだけだな

651 :DNS未登録さん:2008/05/15(木) 05:24:31 ID:???
いや違うか

ttp://www.hazaiya-cgi.com/inquiry_order.html
ttps://secure02.blue.shared-server.net/www.hazaiya-cgi.com/inquiry_order.html

っていうカラクリかよ
確かに、これはひどい

652 :DNS未登録さん:2008/05/22(木) 01:27:23 ID:???
某業者からSSL証明書を購入したら、
特にドメイン認証など一切無しで、料金支払い直後に.crtが発行されました。
普通簡単な認証でも
ドメインのwhoisあてのメールで本人確認等が行われるのが一般的かと思います。

で、そのcrtをインストールしてテスト使用しましたが、
safari,opera,IE7,firefox、どのブラウザでも
警告等が表示されません。つまり正常に使用可能です。

これってありなんでしょうか?
使用する上で何か注意点ってあるでしょうか?

653 :DNS未登録さん:2008/05/22(木) 01:42:15 ID:???
whoisだとサブドメインの管理者かどうかわからないから、
admin@subdomain宛を受信できるかどうかだったりするけど、それもなし?
試しにmicrosoft.com宛に発行してもらうとかどうだろう

654 :DNS未登録さん:2008/05/22(木) 01:48:53 ID:???
>652
どういう本人確認を行うかは、認証局のポリシーによるから
それで良いっていう認証局ならそれで良いんだよ

655 :652:2008/05/22(木) 02:56:15 ID:???
>>653
それも無しです。
microsoft.com ってすればそれ用の.crtが送られてきます。
もちろんmicrosoft.comの鯖には入れられないので
悪用できない気もするのですが、
であれば、そもそも多くの業者が本人確認を行う意図って何でしょうか?

656 :DNS未登録さん:2008/05/22(木) 03:42:30 ID:???
>655
鍵と本人の対応を確認するためだよ

確認方法ってのは、>654のとおりに運用規程によるんだよ
それで認証局が問題ないって言えば問題なくて、
それがその認証局のポリシーなんだよ

そのポリシーを良しとするか悪しとするかは、証明書利用者の勝手


もっと厳格な本人確認が必要な証明書が必要ならば、そういう認証局を選べよってこと

657 :DNS未登録さん:2008/05/22(木) 08:29:35 ID:???
>>655
> microsoft.com ってすればそれ用の.crtが送られてきます。

銀行とかECサイトの証明書とって誰でも中間者攻撃ができてしまう。
ハードルはどこか適当なルータをのっとるだけ。

ポリシーの問題でも、それをよしとするかの問題でもないよ。
自分と相手サーバが加入しているISPの従業員全員が善意の持ち主だと思うか?


658 :DNS未登録さん:2008/05/22(木) 17:44:32 ID:???
> ハードルはどこか適当なルータをのっとるだけ。

えらく高いハードルだな

659 :DNS未登録さん:2008/05/22(木) 18:18:25 ID:???
>>658
DNS の乗っ取りでも可。

660 :DNS未登録さん:2008/05/22(木) 19:30:53 ID:???
そもそもSSLの証明書は
・対象のサーバに正しく接続している事。
・通信元と対象のサーバ間の通信内容が改変できない事。
・通信元と対象のサーバ間の通信内容が傍受できない事。
程度でサーバの所有者は知ったこっちゃなく
サーバの所有者の証明は別のサービスなのでポリシーの問題でしょ?


661 :DNS未登録さん:2008/05/22(木) 23:53:57 ID:???
対象のサーバに正しく接続している事が保証できなくなるのが問題なんだけど。
高木センセにケツでも蹴ってもらえ。

662 :DNS未登録さん:2008/05/23(金) 00:05:46 ID:???
>>658
> えらく高いハードルだな

単なるワイヤタッピングじゃ越えられないけど、
ワイヤを切って何か細工できるなら越えられるから、
非SSL通信を盗むのと高さは大差ない

663 :DNS未登録さん:2008/05/23(金) 01:49:17 ID:???
ルータを乗っ取るとかせんでも、お客さんの方から
来てもらったっていいわけだよね。
自鯖をオープンプロクシにして公開proxylistに載っけるとかさ。

中にはそのままGmailやMSN mailをチェックしようとする
アホもいるだろうから、そこをMITMでごちそうさま、と


664 :DNS未登録さん:2008/05/26(月) 16:06:11 ID:???
>>652
それ、なんて言う業者?

665 :DNS未登録さん:2008/05/26(月) 17:31:25 ID:???
>>652
どういうつもりでそんな運用してるのか聞いてみたいのでどこの業者か教えてほしい



666 :DNS未登録さん:2008/05/28(水) 11:24:01 ID:???
FlySSLだろ?

667 :DNS未登録さん:2008/05/28(水) 13:43:42 ID:???
FlySSLはメールで確認取ってなかったけ?

668 :DNS未登録さん:2008/06/18(水) 19:43:20 ID:/Kdjzsn+
認証局イラネ。httpなら相互の鍵交換だけで良いよ。

669 :DNS未登録さん:2008/06/18(水) 21:08:28 ID:???
その鍵が本物かどうか確認するのに認証局が必要なんだが

670 :DNS未登録さん:2008/06/18(水) 21:14:04 ID:???
>>669
んじゃ本物かどうか直接会って確かめりゃいいんじゃね?

671 :DNS未登録さん:2008/06/18(水) 21:19:58 ID:???
SSLはPKIが前提だから、本来なら認証局は必要だよね

けど、個人用とか、限定ならば無くても運用でカバーとかでしょ

672 :DNS未登録さん:2008/06/18(水) 21:26:20 ID:???
それもありだよ。つうか、暗号鍵は本来は軍事技術なんで、身元が保証できる者同士が
直接対面して物理的に渡すものだった。それができないトランザクションが増えたから、
認証局という便利なものが生まれた。

673 :DNS未登録さん:2008/06/18(水) 21:30:27 ID:???
そしてまた適当なニワカが・・

674 :DNS未登録さん:2008/06/19(木) 00:23:57 ID:???
>>671
>SSLはPKIが前提だから、本来なら認証局は必要だよね

PKIなんて技術インフラだから、この意見が全く意味を成さないことを>>671は気づいているのだろうか?
PKI技術の何を使うか、使わないかは自由。winnyもPKI上のアプリ。

675 :DNS未登録さん:2008/06/19(木) 00:28:12 ID:???
>>669
ユーザはURLでチェックで良いじゃん。
つーか、そこでのチェック以外は意味無い。

証明書なんていくらでも手に入るし。認証局イラネ。

676 :DNS未登録さん:2008/06/19(木) 00:46:00 ID:???
いやだから、DNSがコンプロマイズされうるんだと何度いえば

677 :DNS未登録さん:2008/06/19(木) 01:05:22 ID:???
>>676
DNSは関係ないだろ。
DNS解決後の1対1の通信を保障するものだろ?

678 :DNS未登録さん:2008/06/19(木) 01:16:59 ID:???
自称ドメインと証明書ドメインの合致を確認しないと

DNSスプーフィングで偽サイトと通信してるリスクが回避できないんだよね?

679 :DNS未登録さん:2008/06/19(木) 07:57:26 ID:???
>>678
そもそもDNSスプーフィングされてるような環境では
ルート証明書もまたスプーフィングされてる可能性を論じなきゃならないわけで。

680 :DNS未登録さん:2008/06/19(木) 08:50:48 ID:???
ないない

681 :DNS未登録さん:2008/06/19(木) 08:51:32 ID:???
DNSスプーフィングは「通信経路上で、悪意あるサーバまたは
悪意あるサーバが配布する改竄されたDNS情報に汚染された(poisoned)
サーバ群を経由する」という、クライアント本人には回避しようのない
一定の統計的確率によって遭遇するリスクだよね。MITMも同様。

「ルート証明書のスプーフィング」とは、ブラウザ内蔵の大手認証局ルート証明書を
後から改竄するという意味ではなく、虚偽の内容のオレオレ証明書を
インストールさせることだと思うけど、暗号化リテラシーがある人間なら
こういう事態は起こらないはずだし、少なくとも本人が証明書インストールに
承諾を与えない限り、正しいホストとの正しい暗号化通信であることを
無条件に保証されたりしない。そういう意味で、DNSスプーフィングとは
リスクの質・量ともに大きな隔たりがある。

682 :DNS未登録さん:2008/06/19(木) 09:43:13 ID:???
ブラウザ内蔵のルート証明書を「後から改竄」じゃなくて、
「最初から改竄」されるリスクもあるんだよな。
特に今回のFirefox3のお祭騒ぎはMITMのできる立場の人間なら悪用できそうだ。



683 :DNS未登録さん:2008/06/19(木) 22:06:01 ID:???
ブラウザ自体の改善まで考慮すると、なんでもありありなんだが...。

684 :DNS未登録さん:2008/06/19(木) 22:31:40 ID:???
改善?改竄かな。

だからこそ、信頼できるとこから必ずSSLでダウンロードする
ようにしとかないといけないんじゃないだろうか。
MD5だけSSLで持ってきて比較するなんてのは一般人には無理だ。
昨今ブラウザを安易に配りすぎてないか。


685 :DNS未登録さん:2008/06/20(金) 00:34:08 ID:???
>>682
まともな人間がfirefoxなんか使うかよ。

認証局って、不特定多数がアクセスしてくる普通のweb鯖の場合、意味ない気がする。

686 :蕪木ら某 ◆Googl8RmwA :2008/06/20(金) 02:06:28 ID:???
>>682-685 + http://slashdot.jp/it/article.pl?sid=05/02/27/1352222

687 :DNS未登録さん:2008/06/20(金) 03:42:21 ID:???
世の中にある証明書を信用できるのか?

ブラウザが最初から持っている証明書を信用できるか?

OSの持っている証明書を信用できるか?

どうしても信用ならないのであればOSから自作してください。
というかネットに繋ぐな、直接会えない人とのやりとりのための通信技術なのだから。

688 :DNS未登録さん:2008/06/20(金) 06:15:03 ID:???
>>687
バカジャネ?
OSの証明書は、サーバがクライアントを認証する場合には重要だけど、
普通のWEBサーバはそんなことするか?

クライアントがサーバを認証するのが重要で、
サーバの証明書のほうが問題だろ。

普通のWEBサーバは、クライアントの証明書(>>687の馬鹿が言うOSの証明書)なんか認証する必要は一切ない。
そもそも不特定多数の知らない人間たちがアクセスするんだから。

689 :DNS未登録さん:2008/06/20(金) 06:58:52 ID:???
>>685
不特定多数がアクセスするからこそ認証局が必要なんだけど

690 :DNS未登録さん:2008/06/20(金) 10:06:25 ID:???
>>688
ええええええええぇ?

691 :DNS未登録さん:2008/06/20(金) 10:41:13 ID:???
世の中にある(webサーバの)証明書を信用できるのか?

ブラウザが最初から持っている証明書(webtrustCAを信用しなければならないが)を信用できるか?

(ブラウザのインストーラーのコードサインニングを確認するため)OSの(あらかじめ)持っている証明書を信用できるか?

どうしても信用ならないのであればOSから自作してください。
というかネットに繋ぐな、直接会えない人とのやりとりのための通信技術なのだから。
(証明書はその組織の人が署名した事は証明してくれますが、悪意の有無は証明できません)

こう書かないとダメなんですね。わかります。

692 :DNS未登録さん:2008/06/20(金) 11:51:26 ID:???
>>689-690
俺、間違えてるか?
不特定多数の中から、特定のクライアントのみ識別する必要があるなら認証局
(つーか、こういう場合は自前の認証局で良い)も有用だけど、
不特定多数全てを受け入れる場合(普通のWEBサーバ)、クライアントが証明書を持っている必要はまるで無い。

逆に、クライアントの立場からすれば、サーバの証明書の信頼性がない(現状すぐに上位機関から発行)以上、
URIを指定してアクセスした先のサーバを信頼せざるを得ない。
(成りすましかどうかは結局のところ認証局ではわからない)

693 :DNS未登録さん:2008/06/20(金) 22:48:39 ID:???
>>692
間違えてると言う以前に、全然理解できてないと思う。

694 :DNS未登録さん:2008/06/20(金) 23:43:01 ID:???
>>692にSSL認証がどういう仕組みだと思ってるのか説明してほしいよな

695 :DNS未登録さん:2008/07/06(日) 18:40:39 ID:wj9pEVao ?2BP(450)

んじゃ 認証曲を認証する曲でもつくって 大儲けしろw

696 :DNS未登録さん:2008/07/07(月) 12:48:24 ID:???
どんなメロディなんだろう?

697 :DNS未登録さん:2008/07/07(月) 21:28:02 ID:???
私はスーパーアイドルー♪
日本のみんなの天使なの。

でも私も女の子。
恋する彼はみんなには秘密よ。

さぁ、私の鍵を開けてよ。
404なんていわないで。

セキュアー ソケットー レイヤー


698 :DNS未登録さん:2008/07/07(月) 22:08:28 ID:???
もうちょっとSSL的にたのむ。
あと、CAが主人公または準主人公で。

699 :DNS未登録さん:2008/07/08(火) 02:36:08 ID:???
我、汝と秘密の言葉を取り交わさん
汝は我を知らず我も汝を知りえぬなり
互いの証しは生まれにある印なり


700 :DNS未登録さん:2008/07/09(水) 08:49:46 ID:9JLGEaND
前より値段が安くなってきたと感じるけど、どうだろうか?

701 :DNS未登録さん:2008/07/09(水) 21:15:28 ID:???
携帯とかEVとか言い出さなければ十分安い

702 :DNS未登録さん:2008/07/09(水) 21:28:35 ID:???
EVってなに?

703 :DNS未登録さん:2008/07/09(水) 21:40:18 ID:???
EV SSLでググるんだ

704 :DNS未登録さん:2008/07/09(水) 23:15:38 ID:???
>>702
エレベーターだろ。

705 :DNS未登録さん:2008/07/11(金) 22:15:32 ID:???
80GBのHDDが100個近く山ほど余ってるんだが、
何か使い道ないんだろうか。
できれば集合させて、大容量の1台のHDDとして使いたいんだけど、
何か良い方法ある?できればRAID1で冗長性も持たせたい。

706 :DNS未登録さん:2008/07/12(土) 03:18:11 ID:???
>>705
さっさと捨てて1TBのHDD買ったほうが経済的。

707 :DNS未登録さん:2008/07/12(土) 04:20:52 ID:???
繋ぐための機材買うより大容量の新品買ったほうが安いな・・・

708 :DNS未登録さん:2008/07/12(土) 11:51:01 ID:???
そもそも電気代がとんでもないことになりそうだし、
いくら昔の HDD が頑丈といっても 80台もあったら
壊れる確率もそれなりになるだろうな。

709 :DNS未登録さん:2008/07/12(土) 23:05:24 ID:???
>>708
定量的な指標がまるで無い。

メルヘン乙。

710 :DNS未登録さん:2008/07/12(土) 23:51:05 ID:???
正しい指摘有難う。








でも、ここはにちゃんだし、雑談レスで何言ってるんだろう、この人。

友達いないんだろうな...。

711 :DNS未登録さん:2008/07/17(木) 09:49:15 ID:???
Windows の Firefox では受け取った証明書を
どこに保存しているんでしょうか?
Windows が提供している証明書ストア?
だとするとそこは IE と共通?
それはそれで問題ないけど,ちょっと気になったもんで

712 :DNS未登録さん:2008/07/17(木) 20:21:20 ID:???
>>711
プロファイルのディレクトリ以下に保存されてる。
cert8.dbとかがそうだったはず。IEとは無関係。

713 :DNS未登録さん:2008/08/06(水) 17:07:44 ID:rsKsSR5l
なんか訳語が不統一でパニクってしまってるんですが、「Chained root」と「中間CA証明書」は同じものだと思っていいんでしょうか?

714 :DNS未登録さん:2008/08/06(水) 18:41:48 ID:???
なかのディスクを取り出して文鎮として売る

715 :DNS未登録さん:2008/08/06(水) 23:16:47 ID:bX0UnxKm
http://sslreview.jp/content/table/index.html

このサイトって参考になりますか?
なぜ、この値段設定なのか分かりません。
ルート認証局のシングルルート証明書より、連鎖認証局の間接証明書の方が高いのはなぜでしょうか?

今日調べ始めたばかりなので、分からないことばかりです。
用語の使い方等が間違っていてたら、ごめんなさい。

あと、他に参考になるようないいサイトってあれば教えてください。



716 :DNS未登録さん:2008/08/06(水) 23:52:25 ID:???
中間CAよりルートCAの方が良いとは限らない

10分で証明先確認が終わるような安易なルートCAと、
企業の存在性を確認する中間CAのどっちが良いか?という話もある

717 :DNS未登録さん:2008/08/07(木) 00:01:06 ID:???
たとえばベリサインは用途によって中間証明書をわけてるだけで
ルート証明書も中間証明書もベリサインが管理してるので
中間証明書を失効される可能性はまずない。

comodo等の安定してるとは言えないとかかれたCAは
ルート証明書は別の会社がもっており、契約で中間証明書を証明してもらってるだけなので
契約違反や喧嘩別れなんかで中間証明書が突然失効される可能性がある。

ややきわどいのがcybertrust JAPANで
ルート証明書はcybertrustでcybertrust(米)がもってるんだけど
cybertrust JAPANは
出資が(米)cybertrustとヤフーグループ(ヤフーBB)の半々になってる為見捨てられる可能性が…

って感じでシングル証明書か中間証明書が必要かで
信用度や安定度がかわるわけじゃないのでそこで値段がわかれてるわけではなくて

普及率や、ブランド率、人の手がどれだけ介在してるかとか
保障範囲(金額)とか(大抵のSSLには保険が付いてる)
証明の範囲(実在証明付きだと高い)とか
そういったので大体値段帯がわかれてて
あとは競争なんかで各社の判断なんかで値段がきまるんだと思うよ

718 :DNS未登録さん:2008/08/07(木) 01:08:49 ID:mn6uGCGF
ありがとうございます。

なんか『どれが良いか調べろ?』なんて言われて困ってるんです。
何か、無難な基準やコツなどはあるでしょうか?

>>713も僕のレスなんですが、同じでいいんでしょうか?


719 :DNS未登録さん:2008/08/07(木) 12:14:19 ID:???
あ、1こ嘘ついてた、comodoは(今では)自社でルート証明書持ってて最近のブラウザは対応してます。
不安定なCAの代表はtoritonですね。しょっちゅうルート証明書が変わってます

英語は苦手なので日本語のサイトをメインで回ってるのであまり自信がないけど
Chained root CA=中間認証局
Chained root Certificate=中間証明書
でないかな?
Chained CAなんて言葉もあって使い分け方がわかりません。

んで、どれが良いか?は状況によってかわってくるんじゃないかな?
よく分からないで変なCAに手出すと痛い目にあうので大手にしといたほうがいいよ

古い携帯に対応する必要がある場合
ベリサイン(ThawteのSGCもルートはベリサイン)
サイバートラスト(セコムもルートはサイバートラスト)
くらいしか選択肢がない

比較的新しい携帯だけでいいなら
ジオトラスト(QuickSSL Premium)系も選択肢にはいってくるかな

ほんとに最近のだけでいいならGlobalSign系もありだけど・・・

あんまり携帯対応を考えてない場合
企業実在証明まで必要ならベリサイン、サイバートラスト、thawte
必要ないならrapidSSLが安くていいんじゃないかな?


720 :DNS未登録さん:2008/08/07(木) 14:03:31 ID:???
>>718
言ったやつの「良い」の判定基準を調べるか聞くかするのが先だろ。
予算いくらで何に使いたいかもそいつがわからんようなら問題の出どころまで遡れ。

721 :DNS未登録さん:2008/08/07(木) 18:19:26 ID:MjDiiGn/
>>719
ありがとうございます。

>>720
報告を聞いてから決めるそうです。

今のところ
予算:4万
実在証明あり
ルートを所有してる

こんなところでしょうか。
ありますかね?

なさそう・・・

722 :DNS未登録さん:2008/08/07(木) 18:23:13 ID:MjDiiGn/
あ、一番大事なのを忘れてました。
あと、主要なブラウザすべてに対応。
です。

723 :DNS未登録さん:2008/08/07(木) 19:19:58 ID:???
うーんthawteなら・・・と思ったけど、実在確認はするけど実在証明はしてないのか

DUNS NUMBER持ってるならTrueBusiness IDが代理店によっては4万前後だな
DUNS NUMBERは3000円〜で取れる


724 :DNS未登録さん:2008/08/07(木) 19:25:13 ID:???
あ、あと、cybertrust 0.5年なら42000円で取れるよw


725 :DNS未登録さん:2008/08/08(金) 12:26:50 ID:???
>あと、主要なブラウザすべてに対応。

verisign しかないんじゃね?
携帯を含めなくていいのならばほかにもあるけど。

726 :DNS未登録さん:2008/08/08(金) 13:16:00 ID:???
>>725 verisignとcybertrustは携帯のカバー率ほとんどかわらない


727 :DNS未登録さん:2008/08/09(土) 03:50:10 ID:???
携帯はともかくNintendoDSも相手したかったらverisignしかねーな。
携帯いらんでPCのブラウザだけでよければ安いところはたくさんある。


728 :DNS未登録さん:2008/08/09(土) 03:56:03 ID:???
カバー率ってどうやればわかるのでしょうか?
実際に携帯やブラウザを調べて?

729 :DNS未登録さん:2008/08/09(土) 11:14:17 ID:???
SSLにカバー率なんかあるのかよ

730 :DNS未登録さん:2008/08/11(月) 11:00:31 ID:???
それはありますよもちろん

731 :DNS未登録さん:2008/08/12(火) 10:15:51 ID:RknXnXjb
話を戻す

認証されてないで暗号化だけでは意味がないといいながら
Digest認証なんてものが世の中に存在する不思議

732 :DNS未登録さん:2008/08/12(火) 13:48:57 ID:???
digest認証でリクエストやレスポンスが保護できるのか?


733 :DNS未登録さん:2008/08/12(火) 16:55:09 ID:???
>>731
SSLより後に出てきたんなら不思議だよな>ダイジェスト認証


734 :DNS未登録さん:2008/08/12(火) 18:41:42 ID:??? ?2BP(1)
本気でいってるのか、釣りで言ってるのかよく判らないだが・・・

Digest認証は共通暗号鍵方式で事前に安全な方法で秘密鍵のやり取りが必要。
サーバがアクセス者が本人かどうかBASIC認証よりは安全に確認(認証)するのが目的で
ID/PASS以外のリクエストやコンテンツが改竄/盗聴されてるかどうかは守備範囲外

BASIC認証にくらべてDigest認証のほうが
・ID/PASSを非可逆性の暗号化してるので盗聴やフィッシングされてもダメージが少ない
・ワンタイム性の高い認証方法なので盗聴されてもダメージが少ない(サーバの実装に依存する)
程度の仕組みで
RFCに「最近の暗号に比べて安全であるとはいえない」って書かれてるし
どんな攻撃にどう脆弱なのかもある程度まとまってる。

SSLは公開鍵暗号方式で事前に秘密鍵の交換の必要がない。
通信内容が(双方向に)盗聴/改竄されないようにするのが目的で通信内容を可逆性の暗号化する。
相手先がだれか保証できない場合、暗号化しても意味が無い為信頼のある第3者に署名してもらう必要がある。・・・のは理解できるよね?

目的も守るべき内容も違うのでどっちが先に実装したかなんて問題じゃないし存在してても不思議じゃない


735 :DNS未登録さん:2008/08/18(月) 16:53:10 ID:???
どこの話に戻ったのかよくわからないけど、

・通信の暗号化だけしたいのに馬鹿高い証明書買わせるんじゃねーよボケ
・相手が誰か証明できないのに暗号化なんて意味ないだろバーカ
・じゃあ何故SSLより後にDigest認証なんてできたんだ?←いまここ

ってことであってる?

736 :DNS未登録さん:2008/08/18(月) 17:23:05 ID:???
>>735 >>734は無視?



737 :DNS未登録さん:2008/08/18(月) 17:27:42 ID:???
>>736
>>731の発言に至った流れについての話なのに無視?とか言われても困るんだが

738 :DNS未登録さん:2008/08/18(月) 19:45:57 ID:???
Digest認証は暗号じゃ無いよ。ハッシュだから秘密鍵なんか無い。

739 :DNS未登録さん:2008/08/19(火) 21:43:00 ID:???
ID/PASS(とrealm)、またはそれらのハッシュ(互いにしか知らない要素)が
なければ、正しいリクエストが飛ばせないので
秘密鍵であってると思うんだけどなんか違う呼び方あるの?



740 :DNS未登録さん:2008/08/19(火) 22:34:26 ID:???
>>739
暗号化は正しい相手との通信であれば内容(データ)を解読できなければならないので、
データそのものを送信しない点においてダイジェスト認証は暗号化ではない。

741 :DNS未登録さん:2008/08/20(水) 03:28:05 ID:???
Digest認識はハッシュだな。
CHAPと同じ。

742 :DNS未登録さん:2008/08/20(水) 07:09:13 ID:???
Digest認証わかってないやつが なんでSSL理解できるんだか

743 :DNS未登録さん:2008/08/20(水) 13:57:47 ID:???
復号できないのは暗号化ではないという認識だと
MD5で実装されてるcrypt(3)は暗号化ではない(orとは言わない)
ということですか?
自分の知ってる範囲では暗号化と呼ばれてます。

ただのハッシュで秘密鍵なんかない。ということは
IDもPASSもそれらのハッシュも第3者に知られても影響は無いという事ですか?

言葉尻つかまえてつっこみたいだけですかね?


744 :DNS未登録さん:2008/08/20(水) 14:20:19 ID:???
crypt は厳密な意味では暗号じゃないよ。
厳密な定義をうんぬんする必要のない文脈でめんどくさいから便宜上暗号と呼ぶだけ。

745 :DNS未登録さん:2008/08/21(木) 06:07:38 ID:???
平文じゃなきゃ、ただの符号化でも暗号化で通じたりする。
みんな分かってるから細かい事は言わない。



746 :DNS未登録さん:2008/08/21(木) 22:57:51 ID:???
>>743
> ただのハッシュで秘密鍵なんかない。ということは
> IDもPASSもそれらのハッシュも第3者に知られても
> 影響は無いという事ですか?

何でそんなわけわからん結論になるんだ?
他人に言葉尻云々言う前に、もうちょっと勉強しなよ。

747 :DNS未登録さん:2008/08/22(金) 05:19:15 ID:???
ID はなまで送っているから見られちゃうね。そこが暗号とハッシュの違いかも。

748 :DNS未登録さん:2008/08/22(金) 11:38:26 ID:???
流れがよく判らないんだが734の
> Digest認証は共通暗号鍵方式で事前に安全な方法で秘密鍵のやり取りが必要。
これが問題になってるのか?


749 :DNS未登録さん:2008/08/23(土) 08:26:41 ID:???
共通暗号鍵方式で使うのは共有鍵だろ。
問題自体がバグってる

750 :DNS未登録さん:2008/08/23(土) 10:21:23 ID:???
暗号化側と復号化側で「共有の鍵」を持つ必要があるが、その鍵は他者には
「秘密」にする必要がある。

なので、秘密鍵と言うのは間違っちゃない、というか普通にそう言う。

751 :DNS未登録さん:2008/08/25(月) 09:03:06 ID:???
共通で持っている情報はパスワードだけ。
パスワードを秘密鍵とは呼ばないだろ。


752 :DNS未登録さん:2008/08/27(水) 23:35:02 ID:???
>>750
>なので、秘密鍵と言うのは間違っちゃない、というか普通にそう言う。

いや、間違ってる。そしてそれは絶対「普通」じゃない。

753 :DNS未登録さん:2008/08/28(木) 22:44:52 ID:???
はいはい、世界の中心は自分だと思いたいんですね、わかります。

754 :DNS未登録さん:2008/09/05(金) 10:18:32 ID:tU0DcbbG
ここで質問って良いですか?
急ぎで確認しなくてはいけないのですが、検索できずに困っています。

ベリサイン発行のテスト用サーバIDを用いて、携帯電話からSSL接続を
確認したいと思っています。

以下の証明書を使用
http://www.verisign.co.jp/ssl/trialserver/index.html

上記のURLにもあるように携帯電話からテストを行えないケースが
あるようですが、どういった場合に出来ないか?
教えてください。

やりたいこととしては、上記URLのテスト用サーバIDを使用して
3キャリア(DoCoMo、au、SoftBank)からSSL接続を
行い、テスト環境にて開発したWEBサイトのテストを行いたいと思っています。

よろしくお願いします。

755 :DNS未登録さん:2008/09/05(金) 11:36:20 ID:tU0DcbbG
754です。
板違いだったようなので、質問を移動します。

756 :DNS未登録さん:2008/09/06(土) 03:09:17 ID:shcJbttH
むかーし、認証局自分で立てて、
今は無いネスケの4.7に証明書入れてhTTP+SSLサーバを立てたことがあるんだけど、ほとんど忘れてしまってる程度の人間から質問です。
(ぐぐれって言わないで)

httpsってhttpのヘッダは暗号化しないよね?内容だけだよね?違ったっけ?

で、別に認証はしなくても良いから、暗号化だけしたいって場合、
Javascriptに公開鍵用意して、自分で暗号化して、ajaxでも使ってやり取りすれば良くね?
あとは、サーバ側でCGIにするかapacheに何かかませるかって感じで。

そもそも、認証してサイトの身元を確認したいなんて人はWEBじゃ少数な気がする。
(自宅サーバ前提ね。)

このスレ見てて、ふと思った。

757 :DNS未登録さん:2008/09/06(土) 06:32:35 ID:???
>httpsってhttpのヘッダは暗号化しないよね?内容だけだよね?違ったっけ?
違った。
(この時点でそれ以下は読んでいない)


758 :DNS未登録さん:2008/09/06(土) 07:18:51 ID:shcJbttH
>>757
あれ?そうだっけ?
httpのバージョンとか、長さとか書いてるとこも暗号化しちゃうんだっけ?

759 :DNS未登録さん:2008/09/06(土) 08:43:57 ID:???
>>758
SSLなパケットをデコードするのにhttpヘッダが必要な理由がわからない。

760 :DNS未登録さん:2008/09/06(土) 09:01:10 ID:???
httpsってhttp over SSLだぜ・・・SSLでラッピングしてしまうんだぜ・・・

761 :DNS未登録さん:2008/09/06(土) 10:46:09 ID:???
>>756
ヘッダから暗号化してしまうのでproxyを通すときが厄介ともいう。

762 :DNS未登録さん:2008/09/06(土) 10:56:34 ID:t14WV4kh
IEだとオレオレ証明書を一時的に受け入れるのはワンクリックだけど
Firefoxだと結構面倒だな

763 :DNS未登録さん:2008/09/07(日) 08:21:55 ID:HFNtmx3e
>>759-760
トン。TCPの上は全部やるんだっけ。
ヘッダ残しておいたほうが便利な気がするなぁ。>>761みたいなことも起きそうだし。

764 :DNS未登録さん:2008/09/07(日) 08:32:03 ID:HFNtmx3e
証明書の有効性がわからないんだけど・・。

証明書って、公開鍵の身元保証で、つまり、サイトの身元保証だけど、
WEB使ってて、そのサイトが「身元保証されてます。」なんて誰も気にしないじゃない。

誰も気にしないからフィッシングサイトが出てくるわけで・・。

765 :DNS未登録さん:2008/09/07(日) 08:41:53 ID:???
SSLの目的を考えたらヘッダだけ残すなんてこたーしないだろ。
プロトコルにも依存しちまうし。

>WEB使ってて、そのサイトが「身元保証されてます。」なんて誰も気にしないじゃない。
俺は気にするぜ

オレオレ証明書で運用中の商用サイトを晒すスレ
http://pc11.2ch.net/test/read.cgi/sec/1129490390/l50

766 :DNS未登録さん:2008/09/07(日) 09:03:02 ID:???
>>764
まぁ、オンラインバンキングなどの重要なところでは、気にする人は気にするだろう。

あと、証明云々よりも通信が暗号化されることにも意味があるかと。

767 :DNS未登録さん:2008/09/07(日) 11:18:24 ID:???
>>766
>あと、証明云々よりも通信が暗号化されることにも意味があるかと。

日本語変だぞ?

768 :>>766 じゃないけど:2008/09/07(日) 12:12:13 ID:???
ん? なんか変か?

「通信 ⇒ 通信するデータ」とした方が誤解が少ないとは思うけど、
このスレの住人なら大丈夫だと思うぞ。

769 :DNS未登録さん:2008/09/07(日) 12:28:40 ID:???
>>764
個別のユーザーは、気にしたくないなら気にしなくてもいい。
リアル世界でも、オレオレ詐欺の電話の内容を信じたいなら信じてもいいし、
銀行やカード会社宛の登録書類を透明封筒に入れて送りたいなら送ったっていい。
身元保証と通信の暗号化を気にしないのは、そのリスクをちゃんと
引き受けるのであれば、自己責任ということで、アリだ。

でも、サービス提供側は、何か問題が発生したときにも
「ユーザーがそれを確認or利用しなかったのは自己責任であって、
こちらとしてはフィッシングやMITMや経路上スニッフィングを
防ぐための最大限の努力はいたしました」と言うための努力は
せないかんのよ。


770 :DNS未登録さん:2008/09/07(日) 13:19:52 ID:HFNtmx3e
>>766
暗号と証明書は基本的には関係ないでしょう。
たとえば、証明書を省いて公開鍵を直接渡すような仕組みがあっても
(今は無いけど)暗号化の面では問題ない。

>>765
>>769
そりゃあ、ここの住人は気にするだろ。知識があるんだから。
ただ、一般のユーザが、「証明書があるから、このサイトは本物だ。問題ない。」
なんてことをいちいち気にかけるとは思えない。

せいぜい、「なんか暗号化されてるっって書いてるから、大丈夫だろう。」って暗号を気にするくらいで、
成りすましの危険については認知されてるとは思えない。

そもそも、証明書があったって信用なんか出来ない。
証明書なんて、金で買えるし、サブ認証(?だっけ)で問題ないんじゃなかったっけ?

771 :DNS未登録さん:2008/09/07(日) 13:23:28 ID:???
>>770は人生経験が浅そうだ。
まだ若いなら色々なものに触れた方がいいぞ。
いや、マジで。

772 :DNS未登録さん:2008/09/07(日) 17:52:49 ID:???
>>770
で、どうするの?
一般のユーザはインターネット使うの止めさせるのか?

車使わなきゃ、交通事故が激減すると言ってる奴と大して変わらない。

もしそう言う主張をしたければ、こんなところでくすぶっててもしょうがないぞ。

773 :DNS未登録さん:2008/09/07(日) 18:14:42 ID:HFNtmx3e
>>772
ネットに証明書なんて要らないんじゃね?ってこと。

スレ読んでてたまたま思っただけ。

774 :DNS未登録さん:2008/09/07(日) 23:00:33 ID:???
それなら自分の日記帳にでも書いておいてくれ。

775 :DNS未登録さん:2008/09/08(月) 11:03:51 ID:???
jpドメインのssl買うんだけどcsrの申請者って日本語入っててもいいのかな

776 :DNS未登録さん:2008/09/08(月) 12:00:24 ID:???
入れない方が吉

777 :DNS未登録さん:2008/09/08(月) 14:15:12 ID:???
ベリサインだとエラーがでる

778 :i219-167-27-216.s06.a011.ap.plala.or.jp :2008/09/15(月) 00:10:19 ID:???
>>762
だがそれがいい

779 :DNS未登録さん:2008/09/18(木) 00:08:22 ID:???
GoDaddy SSL 証明書ってなんであんなに安いの?

ttp://www.godaddy.com/gdshop/compare/gdcompare_ssl.asp?isc=sslxgo004b



780 :DNS未登録さん:2008/09/19(金) 14:34:22 ID:???
>>779
https://www.godaddy.com/gdshop/ssl/why_low_price.asp?ci=5267&app_hdr=0



781 :609:2008/09/30(火) 22:42:23 ID:yakzYQ4W
Namecheap で PossitiveSSL(comodo) が1年分無料 (通常価格 $9.95/yr)

http://www.namecheap.com/learn/ssl-certificates/free-positive-ssl-certificates.asp

注: ドメインの新規登録、移管などの購入が条件。(.info($2.98)がおすすめ)
注: カートで「Get Comodo PositiveSSL for FREE EXCLUSIVE! 」をクリックする必要があります。


かなり前からやっていたようですが、気づきませんでした…

782 :DNS未登録さん:2008/10/02(木) 01:33:12 ID:dZPAIoNj
企業認証SSLって、なんか意味あんの?
架空の企業であっても、目的のサイトであることが証明されれば
問題ないんだと思うんだが・・・

ちょっと値段が違いすぎるんで、ワレの知らないなにか、
もっと超凄いメリットがあるのかと?


783 :DNS未登録さん:2008/10/02(木) 05:04:05 ID:???
レコードレーベルが違法コピー対策してるのと同じ。
効果云々より「示し」が重要。

784 :DNS未登録さん:2008/10/02(木) 07:55:22 ID:???
>>782
新手のボッタクリ手段。

785 :DNS未登録さん:2008/10/02(木) 08:42:38 ID:???
企業認証
ドメイン名と企業名の対応を証明書の中で保証するよっていうサービス

EV
その保証したことをアドレスバーに表示するようにしたよっていうサービス

786 :DNS未登録さん:2008/10/06(月) 03:16:20 ID:???
Verisignのシールはってるけどverisignじゃない…

ケンコーコム
https://www.kenko.com/product/order/order_1.html

787 :DNS未登録さん:2008/10/08(水) 03:58:46 ID:B+Y8vpAt
httpsのSSLでのアクセスを想定したCGIなどのファイルに、
通常のhttpのような非SSLでのアクセスをブロックするにはどうすればよいのですか?

788 :DNS未登録さん:2008/10/08(水) 04:55:13 ID:???
自鯖のポートでも見てればOK。

789 :DNS未登録さん:2008/10/08(水) 05:43:07 ID:???
非SSLでアクセスできるところに、設置しないのがいいと思うけど。
非SSLもSSLも同じディレクトリという制約があるなら、環境変数を見て判別するのがいいんじゃないかな。
ポートで見るのでも、いいかも知んないけどやったこと無いな。

790 :787:2008/10/08(水) 06:44:21 ID:???
非SSLもSSLも同じディレクトリという制約があります。
サーバー関係初心者なもので、環境変数やポートの具体的な方法を教えていただけないでしょうか?
よろしくお願いします。

791 :DNS未登録さん:2008/10/08(水) 06:59:15 ID:???
>>790
サーバーは何使ってるの?
apache じゃ無いの?
apache なら conf を眺めれば分かるよ。

792 :DNS未登録さん:2008/10/08(水) 07:59:16 ID:???
>>787
CGIで環境変数を確認すればいい。

793 :sage:2008/10/08(水) 10:40:01 ID:GZFoqwLZ
>>787
.htaccess で転送かけたらどうでしょ?
ttp://crimsonimpact.net/impact/modules/pukiwiki/111.html

794 :DNS未登録さん:2008/10/08(水) 15:14:26 ID:???
$ENV{'SERVER_PORT'}

他にもあると思うけど。

795 :DNS未登録さん:2008/10/08(水) 18:33:54 ID:MXC22W7T
なんで自宅サーバーなのにそんな制約があるんだよ
そもそも非SSLは提供しなきゃいいだろ

796 :DNS未登録さん:2008/10/09(木) 20:57:54 ID:???
トリトンがいつの間にかglobalsignのリセラーになってた。


797 :DNS未登録さん:2008/10/10(金) 00:31:40 ID:???
なんていうか、質問者は自鯖だとか言って無くないか?

まぁPHPの場合なら
$_SERVER['HTTPS'] = onならSSL
$_SERVER['SERVER_PORT'] = 443 ならSSL

この辺の値はwebサーバが出したり出さなかったり、名前が違ったりするので注意が必要。
仕様としては以下。
http://hoohoo.ncsa.uiuc.edu/cgi/env.html

この仕様にHTTPSがのってないので、
別の言語とかwebサーバによっては無いかも知んない。
でも何かしら別名であると思うけど。
SSL_PROTOCOLとか。

798 :DNS未登録さん:2008/10/10(金) 00:34:07 ID:???
なんていうか、ここは何の板だっけ?

799 :DNS未登録さん:2008/10/10(金) 00:34:54 ID:???
SSLに関するスレ だろ。

800 :DNS未登録さん:2008/10/10(金) 05:50:27 ID:???
宅鯖なんだから好き放題できる筈。

801 :DNS未登録さん:2008/10/10(金) 10:35:48 ID:???
>>787
制限するだけなら.htaccessでSSLRequireSSLを使うのが簡単で確実。
<Files>〜</Files>で使えば個別ファイルに指定できるし、
403エラーを返すので、別途エラーページを用意すればユーザにも優しい。
ファイル名に正規表現をつかえば、CGIのみを対象とする事も可能でしょう。


802 :DNS未登録さん:2008/10/10(金) 10:38:54 ID:???
× <Files>〜</Files>で使えば個別ファイルに指定できるし、
○ <Files>〜</Files>内で使えば個別ファイルも指定できるし、

803 :DNS未登録さん:2008/10/17(金) 18:44:13 ID:???
>>800
心の狭い人ですね…

804 :DNS未登録さん:2008/10/18(土) 09:32:04 ID:???
意味がわからん。

805 :DNS未登録さん:2008/11/02(日) 22:57:52 ID:???
ここの \3,600- コースはどうかな? 
https://yt.com/sc/

806 :DNS未登録さん:2008/11/30(日) 00:36:25 ID:???
GlobalSignって1ライセンスでサーバ3台まで使えるんだね。
http://www.globalsign.com/digital_certificate/options/licenses.htm
※日本語サイトには記述なし。

807 :DNS未登録さん:2009/01/09(金) 21:06:27 ID:arETUyon
きたよーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
MD5アルゴリズムへの攻撃で、証明書の偽造が可能に--JPCERT/CCが注意喚起
http://japan.zdnet.com/news/sec/story/0,2000056194,20386304,00.htm?ref=rss

808 :DNS未登録さん:2009/01/25(日) 23:35:58 ID:???
未だ>>781より安いところが見つからん・・・!

809 :DNS未登録さん:2009/01/26(月) 17:24:25 ID:???
ワケワカランとかに移管とかしたくないし。

810 :DNS未登録さん:2009/02/06(金) 07:53:14 ID:???
円高だし、ワイルドカードSSLでも買いたいけど
https://www.servertastic.com/order/rapidssl-wildcard/
より安いところあるのかな?



811 :DNS未登録さん:2009/02/07(土) 16:03:37 ID:???
http://www.namecheap.com/learn/other-services/ssl-certificates.asp
1年だと誤差の範囲だけど、5年では50USDぐらい安くあがる。

812 :DNS未登録さん:2009/02/11(水) 01:12:57 ID:???
やっぱ携帯未対応だときついな・・・

813 :DNS未登録さん:2009/02/11(水) 19:54:24 ID:???
コード署名証明書って個人では発行してもらえないのか。。

814 :DNS未登録さん:2009/02/19(木) 02:19:23 ID:???
久々に携帯に入ってるルート証明書情報見たんだけど、最近のDoCoMoとauはAddTrust External CA Root入ってるのな。
クロストラストが頑張ったんだろうけど。

ということで試しにPositiveSSL買ってauで試したら見事に通ったよ。

815 :DNS未登録さん:2009/02/22(日) 03:46:35 ID:???
SSL/TLSで、問題点として暗号が古くなると使えないとか、
古い暗号が残る(SSL2.0とか)とか、そういう問題があるじゃん。

じゃあ、暗号用数式も一緒に送ればいいじゃん。
そうすれば最新の硬い暗号使えるわけだし。
鍵交換してどうこうする前に、そういうことはできないのか?

キーは元サイトから、数式は認証局からとか、そうすれば安全性も上がるかも?
いろいろ出来るんじゃないかと思うんだけど

816 :DNS未登録さん:2009/02/22(日) 06:37:40 ID:???
そういやIEってRC4で接続しにくるけど、やっぱAES256にしたいよな

>>810
クレカで決済されるときに、ドル円がいくらになってるかわからんぞw

817 :DNS未登録さん:2009/02/22(日) 13:22:49 ID:???
SSL/TLSはプロトコルであって、暗号は相互に合意したものを選んで使ってる。
SSL 2.0は暗号じゃなくてプロトコルが脆弱で、
無理やり弱い暗号で合意させられうるってこと。

新しい暗号について、数式かアルゴリズム送って、
最適なプログラムを合成してくれるんならいいけど、
現状無理なので、遅すぎて使いものにならないかもな。


818 :DNS未登録さん:2009/02/23(月) 15:23:28 ID:???
>>815
暗号用数式を暗号化する必要がある訳だが、その辺はどうするんだ?

819 :DNS未登録さん:2009/02/23(月) 16:04:02 ID:???
RSA暗号とかも数式は公開されてるだろ?
公開されてなかったら実装しようがないし。

820 :DNS未登録さん:2009/02/23(月) 17:24:09 ID:???
暗号の数式を送る、って
脆弱なアルゴリズムを送りこんで遊ばれる、というステキなシナリオが目に浮かぶ。

821 :DNS未登録さん:2009/02/23(月) 17:46:20 ID:???
DoSはありうるな。

822 :蕪木ら某 ◆Googl8RmwA :2009/02/24(火) 00:26:45 ID:???
( >>815-821 + http://www2.nict.go.jp/pub/whatsnew/press/h20/090114/090114.html etc. )

823 :DNS未登録さん:2009/03/20(金) 20:28:19 ID:???
NonIP SSLってまだやってる?
ページが見当たらないんだけど。

824 :DNS未登録さん:2009/03/25(水) 23:31:47 ID:???
>>823
2月末で終わった。
アナウンスも出てたはずだけど、そのページももう消えてるな…

825 :DNS未登録さん:2009/03/28(土) 14:06:55 ID:???
>>824
おっと。レスありがとう。
確かにページがあったので後で見ようと思ってたら、もうなかったんで。
どっちにしろ2月末で終わってたんだね。

826 :DNS未登録さん:2009/04/07(火) 18:20:05 ID:???
http://www.jcert.co.jp/ いつになったら販売開始するん?

827 :DNS未登録さん:2009/04/07(火) 20:48:06 ID:???
>>826
httpsにすると面白いことになるな
仮に開始してもここからは買う気になれないw

828 :DNS未登録さん:2009/04/11(土) 09:46:47 ID:???
b.example.comにa.example.com用の証明書が使われていた場合、
b.example.comはa.example.comと同じ運営者だって証明になる?
アクセスする側にはどんなリスクがある?

829 :DNS未登録さん:2009/04/11(土) 11:29:11 ID:???
ぜんぜん証明になんかならない

830 :DNS未登録さん:2009/04/11(土) 11:41:38 ID:???
なんで?

831 :DNS未登録さん:2009/04/11(土) 14:36:09 ID:???
>>830
証明できない。例えその事をサイト上で説明したとしても、その説明に信頼性がない。
リスクとしてはb.example.comのドメインオーナーがa.example.comの証明書を不正使用してなりすましの可能性がある。
これが証明できない理由。実際にはブラウザ等のクライアント側で何らかの警告や接続しない等の処理がされる。

832 :DNS未登録さん:2009/04/11(土) 18:36:30 ID:??? ?2BP(0)
a.example.com用の証明書を使うにはa.example.comの管理者が持ってる秘密鍵が必要な訳で、
a.example.comの管理者がそのページを表示しているのは確かだろう。ちゃんと署名されていることが前提だが。
ただ、a.example.comの管理者がb.example.comの正当な管理者であることは証明されないので意味はない。
WildcardやSubjectAltNameを使った証明書であればb.example.comの正当な管理者であることも証明出来るしブラウザから警告されることもない。

833 :DNS未登録さん:2009/04/20(月) 21:19:00 ID:???
個人登録可能、主要ブラウザはもちろん携帯でも使えてフリーまたは低価格
そんな都合のいい認証局ってありますか?


834 :DNS未登録さん:2009/04/21(火) 11:15:01 ID:???
低価格の解釈をどのように見るかで違うから分からないが、freeは無い。

835 :DNS未登録さん:2009/04/21(火) 12:31:06 ID:???
>>833
ttp://triaez.kaisei.org/~kaoru/ssl/cell.html
quickSSL Premiumが79$くらいで、個人も行けて携帯も気がする。


836 :DNS未登録さん:2009/04/21(火) 14:09:23 ID:???
>>834
さすがにフリーはないですよねー

>>835
$79なら手が出せそうです
感謝感激雨霰!

837 :DNS未登録さん:2009/05/08(金) 10:32:35 ID:???
subjectAltName使える最安のCAを教えてください。

838 :DNS未登録さん:2009/05/08(金) 16:54:13 ID:???
まともに対応してるのはCSPくらい?
あとグローバルサインはwww.example.comで取得するとexample.comが付いてくる。



839 :DNS未登録さん:2009/05/16(土) 22:42:09 ID:???
>>837
最安かしらないけどGoDaddyなら使えるんじゃない?


840 :DNS未登録さん:2009/05/17(日) 11:04:13 ID:???
Rapid-SSL のルートが変わり、\3,200で携帯対応になるらしい。
ttp://www.rapid-ssl.jp/

ttp://www.rapid-ssl.jp/rapidssl-news/
現ルート証明書:Equifax Secure Global eBusiness CA-1
新ルート証明書:Equifax Secure Certificate Authority

841 :DNS未登録さん:2009/05/19(火) 00:46:52 ID:???
ってことは、今までのQuick SSL Premium相当の携帯対応になるってことだね。

842 :DNS未登録さん:2009/05/19(火) 01:35:51 ID:???
>>840
>有効なコモド(Comodo)社のSSL証明書をご利用中のお客様が Rapid-SSL.jp へ乗り換えていただくと、なんと、無料でSSL証明書発行!

これはちょっと惹かれるぜ

843 :DNS未登録さん:2009/05/29(金) 08:01:32 ID:???
早速、28日の夜にRapid-SSLから証明書を取得してみたが
Equifax Secure Global eBusiness CA-1 のままだった。

Equifax Secure Certificate Authority を取れた人いる?

844 :DNS未登録さん:2009/05/29(金) 09:39:37 ID:???
つ 時差

845 :DNS未登録さん:2009/05/29(金) 10:08:18 ID:???
つ ルート変更作業遅延のお知らせ

846 :DNS未登録さん:2009/05/29(金) 22:51:40 ID:???
先ほど購入してみたらルートが切り替わってた。


847 :DNS未登録さん:2009/06/04(木) 17:29:59 ID:hO3QNrpg
Fedora10+openSSLなんだけどhttpsで接続するとサイト名が一致しないって怒られます

httpsで接続すると「この証明書はwww.ogehoge.comにだけ有効です」
と書かれており、よく見るとアドレスが1字抜けていました

ネットワーク設定→DNSタブ→ホスト名が「www.ogehoge.com」になっていたので訂正したのですが
アクセスしてみると変わっていないのです
他にも修正しなくてはいけない場所があると思いますが、どこを修正すればいいのか判りません
なにかアドバイスはありませんか?

848 :DNS未登録さん:2009/06/04(木) 17:58:48 ID:???
>>847
> 他にも修正しなくてはいけない場所
あなたの質問能力



849 :DNS未登録さん:2009/06/04(木) 18:00:17 ID:???
>>847
openssl で秘密鍵から作り直して下さい。


850 :DNS未登録さん:2009/06/04(木) 19:17:42 ID:???
>>842
Namecheap.comのキャンペーン>>781まだ続いてるから
$2.98で.info登録して
PositiveSSL発行して
乗り換え
→$2.98で携帯対応SSL証明書

これすげーうまくね?

851 :DNS未登録さん:2009/06/04(木) 20:19:10 ID:???
あーあ言っちまった。

852 :DNS未登録さん:2009/06/12(金) 22:12:39 ID:???
認証局の存在が、暗号化の普及を阻害しているような気がしてならないんだけど…

ブラウザも、このサイトは安全ではありません、なんて表示するのは止めて欲しい。

853 :DNS未登録さん:2009/06/13(土) 06:41:49 ID:???
>>852
日本語で

854 :DNS未登録さん:2009/06/13(土) 09:53:06 ID:???
>>852
それより問題なのはXP+IEだろう。
いまさらRC4って何かの悪い冗談かと言いたい。

855 :DNS未登録さん:2009/06/13(土) 14:36:33 ID:???
相手が誰かもわからないなら暗号化したって意味なし

856 :DNS未登録さん:2009/06/13(土) 19:35:57 ID:???
>>855
co.jp のサイトなんかでは?
大企業では無く、街の中小企業で簡単なメールフォームなど設置するような場合。

ネットバンクなどで利用するなら、認証局も意味があるかもしれないけれど、
クリティカルでは無いような利用も、沢山あると思うんだけど。

俺は、認証局ビジネス自体に良い印象を持てない。

857 :DNS未登録さん:2009/06/13(土) 19:50:17 ID:???
クリティカルでないなら暗号化自体不要。
暗号化したいなら相手が誰かわかってないと無意味。
認証局がいやなら、自分で証明書のフィンガープリントを配り歩く。
その手間をはぶくのが認証局。

858 :DNS未登録さん:2009/06/13(土) 20:48:31 ID:???
>>856
sslの仕組みを理解していないようだな。
認証があって初めて暗号が成り立つシステムなのだよ。

認証無しだとプロキシで解読可能なんだな。

859 :DNS未登録さん:2009/06/13(土) 23:52:26 ID:???
オレオレ証明も?

860 :DNS未登録さん:2009/06/14(日) 01:57:15 ID:???
>>858
君も理解しきれてないように思えます

861 :DNS未登録さん:2009/06/14(日) 08:53:14 ID:???
>認証無しだとプロキシで解読可能なんだな。

説明を図入りでkwsk

862 :DNS未登録さん:2009/06/14(日) 15:00:27 ID:???
答えは
>>855
だろ

相手以外に見られないために何で暗号化するんだから、
相手を確認しないで暗号化するのは無意味
逆に、相手を確認しないで暗号化するってのは、
何のために暗号化をしたいのかを聞きたい

863 :DNS未登録さん:2009/06/14(日) 17:34:55 ID:???
なにやら頭のおかしい人が紛れ込んでるな。

864 :DNS未登録さん:2009/06/14(日) 19:59:46 ID:???
ググれない奴に鯖立てる資格なし

865 :DNS未登録さん:2009/06/15(月) 19:46:52 ID:9oiq2/xF
何で暗号化するんだから?

866 :DNS未登録さん:2009/06/17(水) 22:18:17 ID:???
>>857
クリティカルじゃないなら、暗号化自体不要って事は無いと思うが。
お問い合わせフォームとか、体裁&閲覧者の安心の為に一応暗号化しときたい、
というような需要は、中小企業では結構あると思う。

>>862
認証局の存在証明程度なら、co.jp ドメインでも肩代わりできないかな?
co.jp は、取得するのに書類必要だし。

867 :DNS未登録さん:2009/06/17(水) 22:38:04 ID:???
体裁?一応の暗号化?
たのむからそういうシステムを作らないでくれ。
閲覧者に何の役にもたたない偽の安心を与えないでくれ。

868 :DNS未登録さん:2009/06/17(水) 23:13:58 ID:???
>>866
中小企業ならなおさら信用問題だから
年間2〜3万のことでがたがた言わんだろ。

869 :DNS未登録さん:2009/06/17(水) 23:27:40 ID:???
>>866
>co.jp は、取得するのに書類必要だし。

今月2社の.co.jp登録代行したけど謄本等の要求はなかった

法人の存在証明とSSL証明書は完全なイコールではない
PositiveSSLなんかは存在証明はせずドメイン所有権確認だけ

870 :DNS未登録さん:2009/06/17(水) 23:51:27 ID:???
仮に*.co.jpの所有者が正確に把握できるとしても、
DNSで得たつもりのIPアドレスが正しい保証なんかない。

871 :DNS未登録さん:2009/06/18(木) 01:22:21 ID:???
>>866
他の人も書いてるが、
出来るか出来ないかと言えば出来ない
なぜならば、接続してる先が本当にそのドメインを取得した人とは限らないから

DNSの応答を信用するって言うなら、
通信経路を信用するってのと変わらんから
暗号化してもしなくても一緒

普通は、通信経路を信用できないから暗号化する


872 :DNS未登録さん:2009/06/18(木) 07:53:31 ID:???
>>871
通信経路が信用できないんならOSデフォルトの証明書も信頼できん罠

873 :DNS未登録さん:2009/06/18(木) 08:53:44 ID:???
>>872
それはレイヤが違う話だろw

874 :DNS未登録さん:2009/06/18(木) 09:11:42 ID:???
ふつうのWindows+IEユーザでもか?
輸送経路が信頼できないとかって、どんだけ壮大な妄想かと。

もしOS(というかブラウザ)を信頼できない通信で入手した場合は
別の信頼できる通信でそいつのハッシュ値を入手して比較すればいいだけ。
そこが困難な(きちんと方法を示していない)ケースがあるのは認めるが。

けど、現状で一番攻撃しやすいのは、>>866みたいなのが作ったサイトに
「この通信はSSLで暗号化されて安心ですので、
何か出ることがありますがOKをクリックしてください」
と騙されてクセをつけてしまった客。

875 :DNS未登録さん:2009/06/18(木) 22:20:05 ID:???
そんなクセがつく客はもともと攻撃しやすいだろw アホか

876 :DNS未登録さん:2009/07/20(月) 02:16:34 ID:???
新しいSSL証明書業者を見つけた。ロードバランサー環境では安いそうな。
ttp://www.jcert.co.jp/

USのGodaddyの下請けらしいんだが、本家Godaddyのサイトあやし過ぎ。
アダルトサイトみたいw
ttp://www.godaddy.com/

CP/CPSを熟読するとデカい穴がみつかりそうだな。

877 :DNS未登録さん:2009/07/20(月) 03:01:46 ID:???
新しいSSL証明書業者を見つけた。ロードバランサー環境では安いそうな。
ttp://www.jcert.co.jp/

USのGodaddyの下請けらしいんだが、本家Godaddyのサイトあやし過ぎ。
アダルトサイトみたいw
ttp://www.godaddy.com/

CP/CPSを熟読するとデカい穴がみつかりそうだな。

878 :DNS未登録さん:2009/07/31(金) 11:02:13 ID:???
>>876-877
なんで必死なんだ、ネガキャンか?
ロードバランサー環境じゃなくても大手と比べれば安いだろう。
スレタイにもあるように、ぼったくり市場なんだし、適正価格なのかもしれないが。

まだ日本での実績がないから、なんか思いついたサービスをサックリ始めるなら
さくらの専鯖+Godaddy でいいかな〜程度、という感じではあるな。

いずれにせよ Godaddy は導入してないヤツの憶測より、導入したヤツの情報待ちだな。

879 :DNS未登録さん:2009/07/31(金) 15:24:02 ID:???
GoDaddyはデフォルトで自動更新ONという罠がある。
1年分買った場合は11ヶ月放置しておくと自動更新される。

買ったら忘れないうちに自動更新を解除しておくべき。
もちろんカード情報も削除で。
価格はクーポン有効利用すればRapidSSLとあんまりかわらない。

jcertがどうだかは知らん。


880 :DNS未登録さん:2009/08/01(土) 02:28:38 ID:???
>>879
まぁ、更新し忘れでモメるより増しかもね。

jcertがサービスインしたからサイトをうろついて来た。
ログイン画面とかでEV証明書使ってないんだよね。なんだかなー。

CP/CPSがどうのこうのって行ってる奴がいたけど、まぁ普通じゃね。
ちょっとスカスカで具体的な事は書かずに、ボヤかして書いてあるような感じはするけど。
WebTrust for CAを取るときに審査は受けているはずだし。

881 :DNS未登録さん:2009/08/01(土) 08:05:57 ID:???
EV証明書なんて飾(ry

882 :DNS未登録さん:2009/08/01(土) 09:54:07 ID:???
GoDaddyはsubject alt name付きの証明書でお世話になっている。
後からsubject alt nameの内容に追加出来るのでけっこう便利。

883 :DNS未登録さん:2009/08/01(土) 15:52:21 ID:???
>>882
DaddyのSubjectAltNameの部分ってValidation無しじゃなかったけ?
結構前に試してみて、勝手にドメイン名を入れられるじゃん
とか思ったことがあった。
今はどうなってるかはしらん。

884 :DNS未登録さん:2009/08/01(土) 15:55:42 ID:???
ところで、知り合いからVerisignのSSL証明書の売れ行きが悪い
って聞いたんだけど、ホントかね?やっぱ高いから他に行っちゃうのかな。

885 :DNS未登録さん:2009/08/01(土) 20:48:01 ID:???
こないだ偶然発見したんだけど、これはどうなんだろう。
https://www.slogical.co.jp/ssl/
安いのは確かっぽいんだが。(RapidSSL 1年 2,880円)

886 :DNS未登録さん:2009/08/03(月) 13:34:52 ID:???
>>885
クレジットカード不可、再発行保険無しでもよければいいんじゃね。


887 :DNS未登録さん:2009/08/04(火) 12:15:48 ID:???
>>883
自分がやった時はドメインの数だけメールが来た。

888 :DNS未登録さん:2009/08/04(火) 21:26:56 ID:???
>>882

GoDaddyのUCCってやつなのかな?
異なるドメインを1IPでvirtualhostできるなら便利かも!

889 :DNS未登録さん:2009/08/13(木) 22:46:57 ID:???
>>888
そう。UCCのこと。
UCCってのは用語が良くないよね。
通常はMS Exchange専用のマルチドメイン証明書を意味するから。
ダディのUCCは、一般的な用語で言うところのマルチドメイン証明書。

ちなみにDaddyはCNとSubjectAltNameにIPアドレスとドットなしのホスト名も指定できたはず。
これ使うと、社内ネットワークとかでSSLしたいときに便利だったりする。たしか無料だたと。

あと、CNにwww.example.comを指定すると、subjectAltNameに自動的にexample.comが入る。
他社だとこういうのがオプションだったりするから良心的だなと思った。

890 :DNS未登録さん:2009/08/16(日) 22:41:26 ID:???
UCCって言ったら、上島だろ

891 :108:2009/08/16(日) 22:46:22 ID:???
上島って言ったら、竜兵だろ

892 :DNS未登録さん:2009/08/18(火) 15:52:16 ID:???
これはひどい

893 :名無しさん@そうだ選挙に行こう:2009/08/30(日) 16:54:21 ID:d77klP8d
Namecheapは登録したドメインでしか使えないのか?

894 :名無しさん@そうだ選挙に行こう:2009/08/30(日) 18:47:19 ID:???
>>893
> Namecheapは登録したドメインでしか使えないのか?
全然関係ないドメインでも使えている。

895 :DNS未登録さん:2009/08/31(月) 15:09:37 ID:???
comodoからrapidに乗り換えた人っている?
いたらどこのサイトから申し込んだ?

896 :DNS未登録さん:2009/09/01(火) 20:06:27 ID:???
QuickSSL PremiumもSubject Alternative Names(3個まで)に対応したのかな?

897 :DNS未登録さん:2009/09/02(水) 11:06:09 ID:???
>>885
このSSL契約しようかと考えてる。
でもあまりにも値段安い気がするのだが、ベリとかとこの値段の差ってなに?
ブランド力?

ぶっちゃけ研究開発用なので、ブランドはどうでもいい。携帯からつながれば。

それと証明書の再発行ができないみたいだけど、バックアップとっておく形で例えばサーバーを移転したときとかに対応できるよね?

898 :DNS未登録さん:2009/09/02(水) 12:07:09 ID:???
>>897
値段の差はまぁブランド力が一番でかそうだけど
補償内容、証明の範囲、サポートもあるかと

「携帯からつながる」は↓みとけ
ttp://triaez.kaisei.org/~kaoru/ssl/cell.html


899 :DNS未登録さん:2009/09/02(水) 14:59:51 ID:???
>>898
ありがと。エスロジカル社のrapidでも、認証テストページにアクセスできてから問題ないと踏んでる。

900 :DNS未登録さん:2009/09/08(火) 22:34:14 ID:???
>>897
証明書のバックアップは普通にファイルのコピーしておけばいい。
たぶんメールに添付されたりして送られてくるから。
あと、対応する私有鍵の保存も忘れずに。OpenSSL Export PKCS #12あたりでググれ。

901 :DNS未登録さん:2009/09/09(水) 00:39:15 ID:???
>>980
サンクス!
sslの導入は初めてだから助かった!


902 :DNS未登録さん:2009/09/16(水) 10:11:41 ID:???
>>885
昨日、他のところでGeoTrust Quick Premiun 注文した後このスレ見つけた。
差額7000円。がっくし。

903 :DNS未登録さん:2009/09/16(水) 17:20:36 ID:???
>>897
開発用で安ければいいならRapidで良くね?
よっぽど古い携帯じゃなきゃ対応してるだろ
Premiumはシール欲しい人向けじゃないか

904 :DNS未登録さん:2009/09/16(水) 20:00:31 ID:???
>>903
まさにシールが欲しかった。

905 :DNS未登録さん:2009/09/28(月) 12:13:17 ID:bYrEnn9j
最初の1年だけ、Premiumで契約して、翌年からRapidにすると、シールが引き続き使えるって
いうのは内緒です・・

906 :DNS未登録さん:2009/10/05(月) 19:47:18 ID:???
CyberTrustのリセラーで安いところないでしょうか…。
トリトンでCOMODO契約してたんですけど期限切れでてんやわんやしてます。
どなたかお助けを!!!

907 :DNS未登録さん:2009/10/07(水) 23:05:34 ID:???
なんでCOMODO使ってるの?

908 :DNS未登録さん:2009/10/08(木) 00:35:00 ID:???
ケータイがdocomoだから

909 :DNS未登録さん:2009/10/08(木) 00:59:37 ID:???
3年くらい前はCOMODOのルート証明はCyberTrustだったんです 値段は1万くらい
今じゃCyberTrustのを買おうとしたら7万以上…

携帯まともに対応してるのはVeriSignとCyberTrustだけですね…

910 :DNS未登録さん:2009/10/08(木) 06:32:28 ID:???
docomo なら Rapid で大丈夫じゃないの?

911 :DNS未登録さん:2009/10/08(木) 16:14:00 ID:???
今時どの証明書でも対応してんだろ

912 :DNS未登録さん:2009/10/08(木) 16:48:11 ID:???
rapidもかなりまともだよ

913 :DNS未登録さん:2009/10/12(月) 21:50:38 ID:???
同一CNの場合でも、複数のサーバで利用する場合は、サーバ台数分の
ライセンスが必要らしいのですが

ここでいうサーバは物理的なサーバと考えていいのでしょうか?
ある物理サーバ(secure.example.com) において HTTPS と SSL-VPN のサービスが同時稼働している場合でも
ライセンスは1つでいいんですかね?

914 :DNS未登録さん:2009/10/13(火) 12:40:40 ID:???
>>313
ここじゃなくて証明書を発行してる業者に聞け。
ライセンスは SSL の仕組みとは無関係の契約。
業者により異なるからここで聞いても意味がない。


915 :DNS未登録さん:2009/10/13(火) 14:50:22 ID:???
おまえは3.5年前のレスに何を求めているんだ

916 :DNS未登録さん:2009/10/13(火) 14:52:12 ID:???
すまん。913の間違いだった様だな

917 :DNS未登録さん:2009/10/13(火) 15:16:42 ID:???
指摘されてはじめて気づいた。こちらこそすまぬ。

918 :DNS未登録さん:2009/10/13(火) 19:50:13 ID:???
913です。
ありがとうございました。一応確認してみます。

919 :DNS未登録さん:2009/10/14(水) 16:57:20 ID:???
>>913
ttp://www.goodpic.com/mt/archives2/2008/10/ssl.html


920 :DNS未登録さん:2009/10/20(火) 12:28:53 ID:???
トリトンSSLから期限切れのお知らせメールがきました

以下引用
======================================================
米国マイクロソフト社は、2010年12月末日をもってインターネット
エクスプローラーの、root証明書プログラムより1,024bitの全ての
root証明書を除外する事を発表致しました。

昨年より、暗号強度の引き上げを、米国政府が2010年までに現在の
1,024bitから、2,048bitへ引き上げるよう通達が出ており、これに
従う流れとなっております。

現在、Toriton,IncSSL及びCorporateSSLで使用しているroot証明書は、
1,024bitのEntrust rootになります。
こちらのEntrustのroot証明書も対象となっております。

弊社と致しましては、Toriton,IncSSL及びCorporateSSLの発行をこのまま
継続することにより、再度root証明書の変更等、様々な問題でお客様にご迷惑
をお掛けする事はできないと判断し、今回のマイクロソフト社の発表を受け
Toriton,IncSSL及びCorporateSSLの証明書を本年12月で発行終了とし、
アルファSSLへ完全移行する予定にございます。
(※ワイルドカードを除く※)

アルファSSLサーバ証明書は、既に早い時期から2,048bitの暗号強度を誇る
GlobalSign root証明書と、中間CAであるAlphaCAも2,048bitとなっており、
今回の件には該当しません。
今後も安心してご利用いただけます。
======================================================

といってますが本当ですかね?
これが本当だと2011年以降使えなくなるルート証明書が結構たくさんありますよね。
単にトリトンが現行サービスを終了させて新サービスに統合させたいための方便な気がするんですが。

921 :DNS未登録さん:2009/10/20(火) 13:43:01 ID:???
>>920
ベリサインも同じような
https://www.verisign.co.jp/ssl/about/20090730.html

922 :920:2009/10/20(火) 14:02:33 ID:???
>>921
なるほど…なんらかの変化があるのは事実みたいですね
けどEV証明書だけなんですかね

923 :DNS未登録さん:2009/10/20(火) 16:02:58 ID:???
まぁ何処の認証局に限らず該当するの持ってるところは全滅だわな

924 :DNS未登録さん:2009/10/20(火) 17:10:37 ID:???
うわっ・・・影響でか・・・
移行スケジュール考えないと。

925 :DNS未登録さん:2009/10/20(火) 18:41:47 ID:???
>>920のIEのroot証明書云々がさすがにビックリで調べてみたんだが、

Microsoft Root Certificate Program
ttp://technet.microsoft.com/en-us/library/cc751157.aspx

のGeneral Requirementsの4がそれのことなら「もう1024bitのは新規に受け付けない、
2030年までに1024bitは全部失効すればいいね」って感じで、
2010年12月に1024bitのが綺麗さっぱり削除されますよってわけではなさそう。

EVは米国政府の通達で確かにそうらしいけど、EV以外も含む全部ではないと思う。

926 :DNS未登録さん:2009/10/27(火) 11:33:57 ID:???
Apacheの設定を変更し、単一IPアドレス上で複数のSSLサイトを運用する
http://builder.japan.zdnet.com/news/story/0,3800079086,20402262,00.htm

Firefox 2.0以降
Opera 8.0以降
Internet Explorer 7.0以降(残念なことに、Vistaで動作するもののみである)
Google Chrome
Safari 3.2.1(残念なことに、Mac OS X 10.5.6以降で動作するもののみである)

927 :DNS未登録さん:2009/10/28(水) 19:12:16 ID:???
>>926
興味深いな
しかしIEがVista以降しかダメなのは厳しいなぁ 実用的には
実験環境ならいいかもね

928 :DNS未登録さん:2009/11/01(日) 08:41:35 ID:???
普通のhttps だと

接続
SSL ON
蔵から GET /index.html HTTP/1.1
蔵から host : exsample.con

とやるわけだけど、どんなプロトコルなんですかね。

接続
蔵から host : exsample.con
SSL ON
蔵から GET /index.html HTTP/1.1

かな?

929 :DNS未登録さん:2009/11/02(月) 11:28:49 ID:???
SSL のプロトコル自身が
>SSL ON
ここの時点でホスト情報を送れるように拡張された。

openssl がその拡張に対応したのと、
apache がその拡張された openssl に対応した、という話。


930 :DNS未登録さん:2009/11/02(月) 20:00:13 ID:???
>>929
丁寧な解説どうもです。

931 :DNS未登録さん:2009/11/08(日) 17:22:50 ID:f9wSwTX+
TLSとSSLにゼロデイ脆弱性--セキュリティ研究家が明らかに
http://japan.cnet.com/news/sec/story/0,2000056024,20403071,00.htm

932 :DNS未登録さん:2009/11/08(日) 17:30:46 ID:???
>>931
apache-announceにも流れてたな。

opensslのバージョンを0.9.8lに上げるか、
apacheに対してパッチを適用するか、
クライアント証明書を使用しないようにするか、
のいずれかが対策だということだが。

933 :DNS未登録さん:2009/11/19(木) 13:55:33 ID:???
RapidSSLを5年分更新した。安くなったね。$50だった。

934 :DNS未登録さん:2009/11/19(木) 19:02:19 ID:???
どうしてそんな安いの?
日本の代理店は年間3000円とかっぽいが…

935 :DNS未登録さん:2009/11/19(木) 19:11:13 ID:???
servertastic.com だと5年契約で$10/year
RapidSSLだけじゃなくて、他ブランドのSSLも一番安いと思う。

936 :DNS未登録さん:2009/11/19(木) 21:16:26 ID:???
namecheapは$9.95/yだよ
微妙な差だけどね

937 :DNS未登録さん:2009/12/30(水) 00:22:18 ID:???
こまけぇこたぁいいんだよ

938 :DNS未登録さん:2009/12/30(水) 04:03:08 ID:???
さくらのレンタルサーバーでssl導入したいんですけど、
sslって一つのドメインごとに一つの契約がいるんですかね。

それとも一つのサーバーで一つの契約、でドメインは使い放題って感じでしょうか。
教えて下さい。先生方。

939 :DNS未登録さん:2009/12/30(水) 18:58:28 ID:???
>>938
Server Name Indication

940 :DNS未登録さん:2009/12/31(木) 00:44:01 ID:???
>>939
ありがとうございます。ググってみたら相当サーバーの知識必要そうですね。。。
勉強してみます。ありがとうございました!

941 :DNS未登録さん:2010/01/03(日) 20:17:54 ID:???
スレ違いの悪寒すいません。

MELON使ってるのですが、Win32OpenSSL-0_9_8d.exeを実行しても
TLS/SSL enabledになりません。OSはXPです。以前別のPCでは同様の
前準備で使えていたのですが、いろいろやっても変わりません。

同様の経験ある方がもしいたら、アドバイスお願いします。

942 :DNS未登録さん:2010/01/18(月) 22:57:29 ID:???
質問です。http://www.onlinessl.jp/ で RapidSSL 証明書を取得したのですが、
 一般名称(CN): foo.example.com
 組織(O): foo.example.com
 部署(OU): GT1234567
となっています。ベリサインなどで取得すると、
 一般名称(CN): foo.example.com
 組織(O): Foo CO, LTD.
 部署(OU): Sales Div.
などと表示されるものだと思うのですが、これはどうしてなのでしょうか。

ドメインの所有者であることは確認したが、企業名等の実在性を
確認していないから、あえてこちらが入力した文字を埋めていない
のでしょうか? (そこにこだわるなら、もっと高いプランを申込め
ということ?)


943 :DNS未登録さん:2010/01/19(火) 00:44:14 ID:???
普通のSSLはドメイン名の所有者であることしか証明できないからそれで十分でしょ
EVが出る前はそこに企業名を入れるのを付加価値料として取ってただけで

944 :DNS未登録さん:2010/02/16(火) 21:00:01 ID:???
>942
> (そこにこだわるなら、もっと高いプランを申込め
> ということ?)

そういうこと。手間がかかるんだから当然でしょ
https://www.verisign.co.jp/ssl/help/faq/100062/index.html

945 :DNS未登録さん:2010/02/16(火) 21:00:55 ID:???
>943
> 普通のSSLはドメイン名の所有者であることしか証明できない

おいおい

946 :DNS未登録さん:2010/03/04(木) 11:07:39 ID:???
営業の電話があったので少し調べてみた。

クロストラスト
携帯・PC対応SSL証明書 (Enterprise SSL for mobile)
サイバートラストのリセラー(SureServer)。
実在確認、携帯対応等、VerisignセキュアサーバIDと同等?
本家より5000円ぐらい安い。
3年割が便利かも。

以上、メモ的な。

947 :DNS未登録さん:2010/03/12(金) 14:53:19 ID:???
http://twitter.com/servertastic/status/10167637836
RapidSSL and Geotrust now secure WWW and non-WWW domain
http://blog.servertastic.com/rapidssl-and-geotrust-now-secure-www-and-non

948 :DNS未登録さん:2010/03/14(日) 09:55:22 ID:???
SSLとはちょっと違うけど、ここが詳しそうなので...

JustSystemのオンラインショップで売ってる
ベリサイン 個人用電子証明書ライセンスシート
って、別にJust製品持って無くても使えるよね?

それとも、
verisign -> justsystem -> 個人
みたいに証明書が繋がっていて、just製品じゃなきゃ普通に使えない
みたいになってるの?



949 :DNS未登録さん:2010/03/14(日) 22:52:00 ID:KajmPfoa
>>948

普通のメールアドレス証明書だと思うけど、こんな断り書きがある。

>「ベリサイン 個人用電子証明書ライセンスシート」は、「Shuriken(Pro3以降)」または「一太郎(2004以降)」(ジャストシステム製品で電子証明書に対応したアプリケーション)をご利用の方を対象とした製品です。


950 :DNS未登録さん:2010/03/30(火) 03:32:41 ID:???
>>942
組織の実在確認をしていないのに、証明書の内容に
組織名が含まれていては、宜しくないと思われ。

951 :DNS未登録さん:2010/04/06(火) 15:01:12 ID:???
JustSystemのベリサイン個人用電子証明書を入手してみた。
- Class 1 Public Promary Certification Authority - G2
 - VeriSign Japan Class 1 CA - G2
  - Application Service CA
   - 個人名
という構成だった。で、個人名の所の「部署OU」には
「Application Service CA」
https://www.verisign.co.jp/rpa-kr/
「for JUSTSYSTEM Products」と埋め込まれていた。


ベリサイン本家で取ったclass1証明書は
- Class 1 Public Promary Certification Authority
 - VeriSign Class 1 Individual Subscriber CA - G2
  - 個人名
という構成だった。で、個人名の所の「部署OU」には
「VeriSign Trust Network」
http://www.verisign.com/repository/RPA
「Persona Not Validated」
「Digital ID Class 1 - Netscape Full Service」
が埋め込まれていた。

952 :DNS未登録さん:2010/04/06(火) 15:02:42 ID:???
どちらもS/MIMEでの暗号化・署名は問題なく出来る。
ベリサイン本家で買った方が安いね。

953 :DNS未登録さん:2010/05/08(土) 13:53:47 ID:vtHF1epZ
>>612 から二年半経ってるが、StartCom はIEに対応した。Operaはまだ対応してないけど。


954 :DNS未登録さん:2010/06/08(火) 11:21:42 ID:???
初心者質問で悪いんだが、例えばジオトラストのQuickSSL Premium 等、
代理店で申し込めば1/3とかの価格になるのはなぜ?

別料金取られたりしないの?

955 :DNS未登録さん:2010/06/08(火) 12:18:45 ID:???
卸値と販売価格は違う
卸値は販売実績で違う


956 :DNS未登録さん:2010/06/22(火) 12:40:47 ID:???
ttp://www.geotrust.co.jp/support/ssl/faq/900101/index.html
ジオトラストの鍵長2048ビットへの変更スケジュール予定(7/23-) と
2048ビット化による携帯端末への影響(接続不可端末など)の
検証情報が掲示されました

957 :名無しさん@そうだ選挙に行こう:2010/07/11(日) 00:12:32 ID:???
RapidSSLにおける仕様変更(公開鍵長など)のお知らせ(続報)
http://www.rapid-ssl.jp/rapidssl-news/archives/39

新ルート証明書を使用したテストサイト
https://ssltest12.bbtest.net/


958 :名無しさん@そうだ選挙に行こう:2010/07/11(日) 12:15:07 ID:???
>>957
追加で新ルート証明書のテストサイト
http://www.twsvc.com/archives/1195

959 :DNS未登録さん:2010/07/16(金) 03:22:34 ID:???
https://www.verisign.co.jp/ssl/about/20100128b.html
日本ベリサインは2048ビット化を10月から行なうけど
NISTが方針変更を打ち出してきそうなのでそれに合わせて
現行の1024ビットのも当面は平行提供する方向で調整しているらしい
2048ビット化で2G携帯ほぼ全滅になるクレームでも多かったのかな

960 :DNS未登録さん:2010/08/02(月) 01:40:07 ID:wDVLykMe
comodo以外で1024bitで証明書取れるところってある?

961 :DNS未登録さん:2010/08/02(月) 15:11:54 ID:???
>>960
RapidSSLは未だ1024bitでも大丈夫。
ジオトラストもルート証明書は2048になったけど、しばらくは1024bitも発行されるみたい。
ただ、2013年でブラウザ側の1024bitルートは使えなくなるらしいから、早めに2048以上にした方が良い。

962 :DNS未登録さん:2010/08/03(火) 07:53:45 ID:???
>>961

Rapidは既にジェネレーターが2048bitに切り替わったから無理
対応していないサイトで1024bitで購入しても、電話認証の後にプロセスが進められないというメールが来るよ

963 :DNS未登録さん:2010/08/03(火) 19:23:56 ID:???
RapidSSLの2048bit移行は10月以降って、いくつかのリセラーがアナウンスしてるけど違うの?
電話認証も2〜3年前から必要なくなってるし。

964 :DNS未登録さん:2010/08/04(水) 20:14:09 ID:???
どうして1024bit証明書が欲しいの?

249 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)