【認証局】SSLに関するスレ１枚目【ぼろ儲け】

1 ：リアル３歳児 ◆DVDR/r8S8s ：03/12/14 03:11 ID:Z1USuUcd

セキュ板でもUNIX板でも、ろくすっぽ話題にならないので立ててみますた。

自宅サーバでもSSLきちっと使いたい人は多いと思う。
ただ、自分だけで使うならともかく、公開するならCAの問題つーか
証明書取るコストが問題なんですよね。

また技術的な面でも色々情報交換しましょう。
今はhttp以外のプロトコルでもSSLを使った実装が増えてきてますし。

663 ：DNS未登録さん：2008/05/23(金) 01:49:17 ID:???

ルータを乗っ取るとかせんでも、お客さんの方から
来てもらったっていいわけだよね。
自鯖をオープンプロクシにして公開proxylistに載っけるとかさ。

中にはそのままGmailやMSN mailをチェックしようとする
アホもいるだろうから、そこをMITMでごちそうさま、と

664 ：DNS未登録さん：2008/05/26(月) 16:06:11 ID:???

>>652
それ、なんて言う業者？

665 ：DNS未登録さん：2008/05/26(月) 17:31:25 ID:???

>>652
どういうつもりでそんな運用してるのか聞いてみたいのでどこの業者か教えてほしい

666 ：DNS未登録さん：2008/05/28(水) 11:24:01 ID:???

FlySSLだろ？

667 ：DNS未登録さん：2008/05/28(水) 13:43:42 ID:???

FlySSLはメールで確認取ってなかったけ？

668 ：DNS未登録さん：2008/06/18(水) 19:43:20 ID:/Kdjzsn+

認証局イラネ。httpなら相互の鍵交換だけで良いよ。

669 ：DNS未登録さん：2008/06/18(水) 21:08:28 ID:???

その鍵が本物かどうか確認するのに認証局が必要なんだが

670 ：DNS未登録さん：2008/06/18(水) 21:14:04 ID:???

>>669
んじゃ本物かどうか直接会って確かめりゃいいんじゃね？

671 ：DNS未登録さん：2008/06/18(水) 21:19:58 ID:???

SSLはPKIが前提だから、本来なら認証局は必要だよね

けど、個人用とか、限定ならば無くても運用でカバーとかでしょ

672 ：DNS未登録さん：2008/06/18(水) 21:26:20 ID:???

それもありだよ。つうか、暗号鍵は本来は軍事技術なんで、身元が保証できる者同士が
直接対面して物理的に渡すものだった。それができないトランザクションが増えたから、
認証局という便利なものが生まれた。

673 ：DNS未登録さん：2008/06/18(水) 21:30:27 ID:???

そしてまた適当なニワカが・・

674 ：DNS未登録さん：2008/06/19(木) 00:23:57 ID:???

>>671
>SSLはPKIが前提だから、本来なら認証局は必要だよね
？
PKIなんて技術インフラだから、この意見が全く意味を成さないことを>>671は気づいているのだろうか？
PKI技術の何を使うか、使わないかは自由。winnyもPKI上のアプリ。

675 ：DNS未登録さん：2008/06/19(木) 00:28:12 ID:???

>>669
ユーザはURLでチェックで良いじゃん。
つーか、そこでのチェック以外は意味無い。

証明書なんていくらでも手に入るし。認証局イラネ。

676 ：DNS未登録さん：2008/06/19(木) 00:46:00 ID:???

いやだから、DNSがコンプロマイズされうるんだと何度いえば

677 ：DNS未登録さん：2008/06/19(木) 01:05:22 ID:???

>>676
DNSは関係ないだろ。
DNS解決後の1対1の通信を保障するものだろ？

678 ：DNS未登録さん：2008/06/19(木) 01:16:59 ID:???

自称ドメインと証明書ドメインの合致を確認しないと

DNSスプーフィングで偽サイトと通信してるリスクが回避できないんだよね？

679 ：DNS未登録さん：2008/06/19(木) 07:57:26 ID:???

>>678
そもそもDNSスプーフィングされてるような環境では
ルート証明書もまたスプーフィングされてる可能性を論じなきゃならないわけで。

680 ：DNS未登録さん：2008/06/19(木) 08:50:48 ID:???

ないない

681 ：DNS未登録さん：2008/06/19(木) 08:51:32 ID:???

DNSスプーフィングは「通信経路上で、悪意あるサーバまたは
悪意あるサーバが配布する改竄されたDNS情報に汚染された（poisoned）
サーバ群を経由する」という、クライアント本人には回避しようのない
一定の統計的確率によって遭遇するリスクだよね。MITMも同様。

「ルート証明書のスプーフィング」とは、ブラウザ内蔵の大手認証局ルート証明書を
後から改竄するという意味ではなく、虚偽の内容のオレオレ証明書を
インストールさせることだと思うけど、暗号化リテラシーがある人間なら
こういう事態は起こらないはずだし、少なくとも本人が証明書インストールに
承諾を与えない限り、正しいホストとの正しい暗号化通信であることを
無条件に保証されたりしない。そういう意味で、DNSスプーフィングとは
リスクの質・量ともに大きな隔たりがある。

682 ：DNS未登録さん：2008/06/19(木) 09:43:13 ID:???

ブラウザ内蔵のルート証明書を「後から改竄」じゃなくて、
「最初から改竄」されるリスクもあるんだよな。
特に今回のFirefox3のお祭騒ぎはMITMのできる立場の人間なら悪用できそうだ。

683 ：DNS未登録さん：2008/06/19(木) 22:06:01 ID:???

ブラウザ自体の改善まで考慮すると、なんでもありありなんだが...。

684 ：DNS未登録さん：2008/06/19(木) 22:31:40 ID:???

改善？改竄かな。

だからこそ、信頼できるとこから必ずSSLでダウンロードする
ようにしとかないといけないんじゃないだろうか。
MD5だけSSLで持ってきて比較するなんてのは一般人には無理だ。
昨今ブラウザを安易に配りすぎてないか。

685 ：DNS未登録さん：2008/06/20(金) 00:34:08 ID:???

>>682
まともな人間がfirefoxなんか使うかよ。

認証局って、不特定多数がアクセスしてくる普通のweb鯖の場合、意味ない気がする。

686 ：蕪木ら某 ◆Googl8RmwA ：2008/06/20(金) 02:06:28 ID:???

>>682-685 + http://slashdot.jp/it/article.pl?sid=05/02/27/1352222

687 ：DNS未登録さん：2008/06/20(金) 03:42:21 ID:???

世の中にある証明書を信用できるのか？
↓
ブラウザが最初から持っている証明書を信用できるか？
↓
OSの持っている証明書を信用できるか？

どうしても信用ならないのであればOSから自作してください。
というかネットに繋ぐな、直接会えない人とのやりとりのための通信技術なのだから。

688 ：DNS未登録さん：2008/06/20(金) 06:15:03 ID:???

>>687
バカジャネ？
OSの証明書は、サーバがクライアントを認証する場合には重要だけど、
普通のWEBサーバはそんなことするか？

クライアントがサーバを認証するのが重要で、
サーバの証明書のほうが問題だろ。

普通のWEBサーバは、クライアントの証明書（>>687の馬鹿が言うＯＳの証明書）なんか認証する必要は一切ない。
そもそも不特定多数の知らない人間たちがアクセスするんだから。

689 ：DNS未登録さん：2008/06/20(金) 06:58:52 ID:???

>>685
不特定多数がアクセスするからこそ認証局が必要なんだけど

690 ：DNS未登録さん：2008/06/20(金) 10:06:25 ID:???

>>688
ええええええええぇ？

691 ：DNS未登録さん：2008/06/20(金) 10:41:13 ID:???

世の中にある（webサーバの）証明書を信用できるのか？
↓
ブラウザが最初から持っている証明書（webtrustCAを信用しなければならないが）を信用できるか？
↓
（ブラウザのインストーラーのコードサインニングを確認するため）OSの（あらかじめ）持っている証明書を信用できるか？

どうしても信用ならないのであればOSから自作してください。
というかネットに繋ぐな、直接会えない人とのやりとりのための通信技術なのだから。
（証明書はその組織の人が署名した事は証明してくれますが、悪意の有無は証明できません）

こう書かないとダメなんですね。わかります。

692 ：DNS未登録さん：2008/06/20(金) 11:51:26 ID:???

>>689-690
俺、間違えてるか？
不特定多数の中から、特定のクライアントのみ識別する必要があるなら認証局
（つーか、こういう場合は自前の認証局で良い）も有用だけど、
不特定多数全てを受け入れる場合（普通のWEBサーバ）、クライアントが証明書を持っている必要はまるで無い。

逆に、クライアントの立場からすれば、サーバの証明書の信頼性がない（現状すぐに上位機関から発行）以上、
URIを指定してアクセスした先のサーバを信頼せざるを得ない。
（成りすましかどうかは結局のところ認証局ではわからない）

693 ：DNS未登録さん：2008/06/20(金) 22:48:39 ID:???

>>692
間違えてると言う以前に、全然理解できてないと思う。

694 ：DNS未登録さん：2008/06/20(金) 23:43:01 ID:???

>>692にSSL認証がどういう仕組みだと思ってるのか説明してほしいよな

695 ：DNS未登録さん：2008/07/06(日) 18:40:39 ID:wj9pEVao ?2BP(450)

んじゃ　認証曲を認証する曲でもつくって　大儲けしろｗ

696 ：DNS未登録さん：2008/07/07(月) 12:48:24 ID:???

どんなメロディなんだろう？

697 ：DNS未登録さん：2008/07/07(月) 21:28:02 ID:???

私はスーパーアイドルー♪
日本のみんなの天使なの。

でも私も女の子。
恋する彼はみんなには秘密よ。

さぁ、私の鍵を開けてよ。
404なんていわないで。

セキュアー　ソケットー　レイヤー

698 ：DNS未登録さん：2008/07/07(月) 22:08:28 ID:???

もうちょっとSSL的にたのむ。
あと、CAが主人公または準主人公で。

699 ：DNS未登録さん：2008/07/08(火) 02:36:08 ID:???

我、汝と秘密の言葉を取り交わさん
汝は我を知らず我も汝を知りえぬなり
互いの証しは生まれにある印なり

700 ：DNS未登録さん：2008/07/09(水) 08:49:46 ID:9JLGEaND

前より値段が安くなってきたと感じるけど、どうだろうか？

701 ：DNS未登録さん：2008/07/09(水) 21:15:28 ID:???

携帯とかEVとか言い出さなければ十分安い

702 ：DNS未登録さん：2008/07/09(水) 21:28:35 ID:???

EVってなに？

703 ：DNS未登録さん：2008/07/09(水) 21:40:18 ID:???

EV SSLでググるんだ

704 ：DNS未登録さん：2008/07/09(水) 23:15:38 ID:???

>>702
エレベーターだろ。

705 ：DNS未登録さん：2008/07/11(金) 22:15:32 ID:???

80GBのHDDが100個近く山ほど余ってるんだが、
何か使い道ないんだろうか。
できれば集合させて、大容量の1台のHDDとして使いたいんだけど、
何か良い方法ある？できればRAID1で冗長性も持たせたい。

706 ：DNS未登録さん：2008/07/12(土) 03:18:11 ID:???

>>705
さっさと捨てて1TBのHDD買ったほうが経済的。

707 ：DNS未登録さん：2008/07/12(土) 04:20:52 ID:???

繋ぐための機材買うより大容量の新品買ったほうが安いな・・・

708 ：DNS未登録さん：2008/07/12(土) 11:51:01 ID:???

そもそも電気代がとんでもないことになりそうだし、
いくら昔の HDD が頑丈といっても 80台もあったら
壊れる確率もそれなりになるだろうな。

709 ：DNS未登録さん：2008/07/12(土) 23:05:24 ID:???

>>708
定量的な指標がまるで無い。

メルヘン乙。

710 ：DNS未登録さん：2008/07/12(土) 23:51:05 ID:???

正しい指摘有難う。








でも、ここはにちゃんだし、雑談レスで何言ってるんだろう、この人。

友達いないんだろうな...。

711 ：DNS未登録さん：2008/07/17(木) 09:49:15 ID:???

Windows の Firefox では受け取った証明書を
どこに保存しているんでしょうか？
Windows が提供している証明書ストア？
だとするとそこは IE と共通？
それはそれで問題ないけど，ちょっと気になったもんで

712 ：DNS未登録さん：2008/07/17(木) 20:21:20 ID:???

>>711
プロファイルのディレクトリ以下に保存されてる。
cert8.dbとかがそうだったはず。IEとは無関係。