しかし、裏ではすべての通信が「暗号化されない状態で」通信経路上の攻撃者に見えており、ユーザ名、パスワード、ユーザが書き込んだ内容など、全ての通信内容を傍受したり、通信内容を改竄したりすることができます。, また、毎回証明書の確認を求められるのは面倒なため、受け入れた証明書はFirefoxやOSの証明書ストアに追加してしまう人が多数かと思います。 暗号化。サーバ側とクライアント側で暗号化／復号化を行うことにより、通信経路上での盗聴・改竄を防ぎます。, 通信相手が正しいことの保障。DNS cache poisoningや、MITM(Man in the middle)によるSSL終端など、攻撃者によって通信相手が変更された場合に警告を表示することで、攻撃者による盗聴・改竄を防ぎます。, 改竄の検出。サーバ側で証明書を使って署名することで、通信経路上で改竄された場合にもクライアント側で受信した際に改竄を検出することができます。, you can read useful information later efficiently. この記事ではこういった場合の説得に使える「オレオレ証明書は何故まずいのか」について、まずい例と許容できる例を取り上げつつ説明していきたいと思います。, 1番に関してはオレオレ証明書でも可能ですが、問題になるのは2番、3番です。 当ブログの運営・管理を担当。, SSL・クライアント証明書・メールセキュテリィなどのキホンから応用までを詳しく解説したPDF資料をご用意しております。. 証明書の正当性は、本来階層構造を上位にたどることによってルート証明書にたどり着くことで確認ができます。しかし第三者認証局の階層に参加せずとも、勝手にサーバ証明書を作ることができる「オレオレ証明書」と呼ばれる自己署名証明書も、知識があれば自分で作成することが可能です。しかしこうした正当性が証明できない自己署名証明書を使うことは信頼できないサイトという評価になります。, この記事では、なぜ自己署名証明書が危険なのか信頼のできない証明書であるかについて解説します。, SSL通信において「電子証明書」は、重要な個人情報や決済情報を暗号化して、万が一途中でデータが盗まれた場合でも、内容が書き換えられないようにしてくれる大切な働きを持っています。 この暗号化をするにあたって、電子証明書は第三者認証局に依頼せずに作成した「自己署名証明書」であっても「暗号化の機能」は果たすことができます。, 「自己署名証明書」は技術的な知識のある人にとってはそれ程苦労せずに発行できるものなので、料金を払って第三者認証局に証明書を発行してもらわずに済ませてしまうケースも見受けられます。, 「自己署名証明書」ですまそうとしてしまう人は、たいてい「暗号化できているから問題ない」ということをその理由としますが、ここには重大な落とし穴があるのです。そうした人はサーバ証明書には、暗号化通信の他に、Webサイトの運営者・運営組織が実在することを証明する「組織の実在性確認」という大切な役割があることを忘れてしまっているのです。, 「自己署名証明書」は自分で自分の正当性を証明するという構造になっていますので、オレオレ詐欺のように、信頼できる組織を騙ることができてしまい、このことを指して「自己署名証明書」を信頼できない証明書という意味で俗称として「オレオレ証明書」と呼ぶ場合もあるほどです。, 「自己署名証明書」であってもSSL通信自体は暗号で行われるので、悪意ある第三者による「盗み見」は防がれています。しかし悪意のある第三者が接続先サーバを偽装して「フィッシング詐欺」などを行うことが可能となってしまいます。, SSL接続の際に使用するブラウザには、大手認証局のルート証明書がデフォルトで入っています。ルート証明書は接続先のサーバから送付される証明書が、信頼できるかどうかを判断するための証明書ですので、これがないと接続先が信頼できるサイトかどうか判断できません。第三者認証局の証明書の場合にはデフォルトで、このルート証明書がインストールされているので何の警告もなしに接続することが可能です。, しかし、個人的に作成した証明書は、Internet ExplorerやChrome、Firefoxなどの著名なブラウザにはデフォルトでは入っていません。したがって、接続しようとすると”信頼できないサイト”であるという警告が出ます。, しかし、ここでも「自己署名証明書」を使おうとしてしまう人は、次のように反論するかもしれません。, 「フィッシング詐欺などは確かに問題だが、ユーザがいろいろなサイトをネットサーフィンするという使い方ではなく、社内のイントラネットに接続するというだけなら、管理者が自己署名証明書を発行したことを知っているので問題ない。ブラウザに”信頼出来ないサイト”と警告されても、それは事前に分かっていることなので問題はない」, つまり、接続先にアクセスしようとした時にブラウザが警告を出したとしても、そのサイトが自分のアクセスしたいイントラネットだということを信じてよい、ということを言っているわけですが、もちろんこれは非常に危険な考え方です。, ネットサーフィンをしていろいろなサイトを見に行った時に「自己署名証明書」だった場合には、それは危険だとしてアクセスしないという行動は取れますが、「自己署名証明書だけど、自分の会社のイントラネットだから安心だ」と思い込んでいるそのサイト自体が「フィッシング詐欺」のサイトとなっていたらどうでしょうか？, 悪意ある第三者が、あなたの会社のイントラネットのログイン画面の様子を何らかの方法で入手して、それとそっくりな画面を用意して、メールなどで「緊急メンテナンスがあるので、すぐにアクセスして必要な書類のバックアップを取ってください」などとアナウンスして、偽イントラネットサイトに誘導することは可能です。, そして、あなたは「このサイトはブラウザが警告を出すけれど、分かっていて接続しているのだから大丈夫」といつもの通りそこにIDやパスワードを打ち込みます。この後はもうご想像の通り、重要なログインデータは悪意ある第三者の手に渡ってしまっているというわけです。, また上記のようなことは、プライベートでも同様に起こりえます。 証明書の正当性は、本来階層構造を上位にたどることによってルート証明書にたどり着くことで確認ができます。しかし第三者認証局の階層に参加せずとも、勝手にサーバ証明書を作ることができる「オレオレ証明書」と呼ばれる自己署名証明書も、知識があれば自分で作成することが可能です。 64bit Windowsを前提とした32bitアプリケーション延命法 ～ LAAオプションで32bitアプリケーションのメモリ不足問題を解消, openssl.cnf を修正し、クライアント証明書を発行できるようにします。下記を openssl.cnf へ追加してください。, Internet Explorer から、ツール – インターネットオプション を選択しても同じです, ファイルの種類は、Personal Information Exchange (*.pfx; *.p12) または 全てのファイル (*. フィンガープリントは公開鍵から求められるため、このような違いが発生し、前述したとおりこれを真似ることはできません。, クライアント側に保存された証明書の公開鍵と、サーバ側から送られた証明書の公開鍵、これが一致すれば正しい相手と通信していることが保障できるわけです。, しかし、この場合サーバ証明書をどのようにして受け渡すかが問題になります。 そうすれば、オレオレ認証局の証明書だけを信頼できるルート証明書にすることで、発行したすべてのサーバー証明書が信頼性あるものになる。 ブラウザーで緑の鍵マークになるって寸法よ。 鍵の種類. これらのサーバの中には「暗号化できているから良いじゃないか」と、有料のSSL証明書を買ってもらえない例もあるかもしれません。 Copyright © Web Technology Corp. All rights reserved. （正確には真似ること自体は可能だが、秘密鍵を知らないため、攻撃者による暗号の解読が不可能になるので意味が無い）, そのため攻撃者は自分の生成した秘密鍵で署名したサーバ証明書を使うわけですが、秘密鍵が異なる以上公開鍵も異なる値となります。実際、二つの証明書を比較すると「証明書のフィンガープリント」が異なる値になっています。 JINS PC を使い始めました。普段はメガネをかけていないため、レンズに照明がうつり込むのが気になる、耳が痛い、と気になって気になってしかたがない yone です。効果があればよいのですが。, 前回の記事で、オレオレ認証局 (プライベート認証局) の構築と、それを使ったウェブサーバ証明書の発行を紹介しました。記事の最後に、その他の証明書活用を紹介しましたが、今回はそのなかから「クライアント証明書」の事例を解説します。, 一般公開しているウェブページではなく、特定の人だけに見せたいページを作る場合、Basic 認証を使うことが多いでしょう。ほぼ全てのブラウザが対応しており、広く使われています。, お手軽でよいのですが、盗聴・改竄に弱いという弱点があります。弱点を改善した Digest 認証というものがありますが、Basic 認証ほど普及していないようです。Basic 認証 + HTTPS の合わせ技である程度の防御力は付きますが、しょせん手で入力できる量の秘密情報なので、重要情報のガードとして使うのには心許ありません。, HTTPS の証明書はウェブサーバの証明書が有名ですが、実は PC にも証明書をいれることができます。そのうちの一つが、クライアント証明書です。ウェブサーバ証明書は、ウェブサーバが本物かどうかを証明しますが、クライアント証明書は接続元 (ユーザ) が本物かどうかを証明します (SSL クライアント認証)。これは、Basic 認証の代替となります。, Basic 認証と SSL クライアント認証の違いを乱暴に例えると、テンキーで暗証番号入力をしていたものを、IC カードで解錠するようにする、ということに近いイメージでしょう。, HTTPS ウェブサーバの設定を変更し、クライアント証明書による認証をするよう設定します。以下は、Apache httpd の設定方法になります。, SSL クライアント認証を使う場合は、下記のようになります。この設定は、Common Name が yone, foo, bar のいずれかの場合のみアクセスを許可します。, 本来はユーザが自分で証明書を作り、認証局はそれに対して署名をするというのがスジですが、今回はすべて認証局上で作業してしまいます。ユーザは出来上がった証明書ファイルをいきなりもらう形になります。, 認証局上で下記のように実行します。第一段階は、証明書の生成です。Common Name にユーザ名を入力してください。, Internet Explorer へ登録する方法を紹介します。Mozilla Firefox 等の場合は、それぞれのソフトウェア内で証明書を登録してください。, Basic 認証ダイアログの代わりに、証明書の確認ダイアログが出ます。先ほどインポートしたクライアント証明書であることを確認して、OK を押下します。認証をパスすると、Basic 認証と同様、ブラウザを閉じるまでは証明書を再度選択することなく秘密のページへアクセスできます。, クライアント証明書をインストールしたノートPCを紛失した、PCがウィルスに感染してPC内のファイルを抜かれているかもしれない、などなど、クライアント証明書を信用できなくなった場合はその証明書を破棄・無効にします。使う人は同じだけど、デスクトップPC・ノートPC・スマートフォンなどへ別々のクライアント証明書を発行している場合は、信頼できなくなった証明書のみを破棄すれば、他の証明書を使ったアクセスはそのまま使い続けられます。, クライアント証明書は有効期限を持っています。今回は 365日間有効で生成しているので、1年後に使えなくなります。, 駆け足ですが、SSL クライアント認証の構築方法を説明しました。SSL クライアント認証を使うと、Basic 認証 + HTTPS よりもセキュリティを高めることができます。すこぅし管理が面倒ですが、大事な大事な情報を外部からアクセスするページには、導入を是非検討してみてください。. 内部的なドメイン(Internal Domain Name)として使用される.local。 test.local, test.internalといったローカルドメインを使用しているケースが多い。 ローカルドメインを使用している中で発生する問題のひとつである「SSL証明書をどうするか？」という問題の対応を記載する。 クライアント証明書は、RSA 512 ビット鍵でCAを作成し、そのCAからサブジェクト代替名（Subject Alternative Name) ... 問題 なく接続でき ... また、PKCS#12 フォーマットのクライアント証明書ファイルの拡張子を “fctp12” に変更し iPhone にメール添付で送ります。 TIS Engineer Advent Calendar 2015 4日目はExcelから予定を変更して証明書のお話です。, SSLサーバ証明書を用いたHTTPS通信は一般的になってきましたが、社員向けWebサービスなどにおいては自己署名証明書（通称：オレオレ証明書）が使われている例も少ないながら見受けられます。 IT技術に詳しくないお客様などが年間費用を嫌ってオレオレ証明書を希望するというのは、ありうる話ですし、気持ちとしてはわかります。, その際に、ここに書いたような知識を（説明する必要は無いですが）背景として、「それは安全ではないのでダメなんです」と伝えるためには、オレオレ証明書の受け入れに慣れてしまうのは悪影響と思います。, さて、明日は同じ証明書でもクライアント証明書のお話。@seiketkm@githubさんです。. Why not register and get more from Qiita?

Parallels Bios Ȩ�定 12, Ã�ルボ Xc40 2021年モデル 16, Ã�ケモンusum Ŋ�力値 ŭ�習装置 9, Ƙ�日 Ƶ� Â�お Ã�ァンクラブ Ã�ログ 4, Drama Cool DŽ�料 27, Â�ーヒープリンス1号店 Â�ャスト Ɨ�本人 4, Ã�モン Ǡ�糖漬け Á�菓子 5,