この記事ではこういった場合の説得に使える「オレオレ証明書は何故まずいのか」について、まずい例と許容できる例を取り上げつつ説明していきたいと思います。, 1番に関してはオレオレ証明書でも可能ですが、問題になるのは2番、3番です。 64bit Windowsを前提とした32bitアプリケーション延命法 ~ LAAオプションで32bitアプリケーションのメモリ不足問題を解消, openssl.cnf を修正し、クライアント証明書を発行できるようにします。下記を openssl.cnf へ追加してください。, Internet Explorer から、ツール – インターネットオプション を選択しても同じです, ファイルの種類は、Personal Information Exchange (*.pfx; *.p12) または 全てのファイル (*. 攻撃対象になっていないのであれば平文のHTTPでも問題なく、逆に攻撃対象になっているのであればMITM攻撃は当然想定されるものです。, そしてサイトを使用する全ユーザが正規の証明書と攻撃者の証明書を見分けられるわけでは無い以上、オレオレ証明書では(暗号化していたとしても)MITM攻撃による盗聴・改竄は防げません。, イントラネット以外でのオレオレ証明書がまずいと知っている人は良いですが、ネットワーク技術に明るいわけではない新人や、専門分野の違う人の中には知らない人もいるかと思います。そういった人がこういったシステムを使い続ければ、これが普通だと思い、警告画面に慣れるに従って警戒心も持たないまま証明書を受け入れるようになっていくでしょう。いえ、既になっている人もいると思います。, 1つは本人が被害にあう危険性です。 SSLサーバ証明書を用いたHTTPS通信は一般的になってきましたが、社員向けWebサービスなどにおいては自己署名証明書(通称:オレオレ証明書)が使われている例も少ないながら見受けられます。 これらのサーバの中には「暗号化できているから良いじゃないか」と、有料のSSL証明書を買ってもらえない例もあるかもしれません。 この記事ではこういった場合の説得に使える「オレオレ証明書は何故まずいのか」について、まずい例と許容できる例を取り上げつつ説明していきたいと思います。 HTTPS を使ったウェブサイトを立ち上げる場合はサーバ証明書を購入するのが普通ですが、特定のメンバー内だけで利用するサーバであれば、必ずしも証明書を購入する必要はありません。今回は、自前で証明書屋さんを作って自前で証明書を発行し、HTTPS サイトを立ち上げる方法をご紹介します。 ChromeやFirefoxの警告画面がバージョンアップに従ってどぎつくなっていったことからもわかるように、本来インターネット上でこの警告画面が出た際は十分な警戒心を持ってあたるべきものです。 暗号化。サーバ側とクライアント側で暗号化/復号化を行うことにより、通信経路上での盗聴・改竄を防ぎます。, 通信相手が正しいことの保障。DNS cache poisoningや、MITM(Man in the middle)によるSSL終端など、攻撃者によって通信相手が変更された場合に警告を表示することで、攻撃者による盗聴・改竄を防ぎます。, 改竄の検出。サーバ側で証明書を使って署名することで、通信経路上で改竄された場合にもクライアント側で受信した際に改竄を検出することができます。, you can read useful information later efficiently. 証明書の正当性は、本来階層構造を上位にたどることによってルート証明書にたどり着くことで確認ができます。しかし第三者認証局の階層に参加せずとも、勝手にサーバ証明書を作ることができる「オレオレ証明書」と呼ばれる自己署名証明書も、知識があれば自分で作成することが可能です。 こういった状況下においては、この攻撃は一度成功してしまえば次からはユーザの確認や入力も不要となり、ユーザに気づかれることなく盗聴・改竄を続けることができます。, このように、オレオレ証明書を使った通信は暗号化が行えていたとしても、攻撃者の発行した証明書を受け入れてしまった時点で暗号化すらも意味がなくなり、通信経路上での盗聴・改竄が起こるようになります。また、何よりも問題なのは人間の目ではそれを判断することがまず不可能ということです。, オレオレ証明書を使用しても問題ないのは通信経路上の機器がすべて管理下にあるイントラネットのみで運用されるサーバに限られており、インターネット経由で外部から接続されるサーバに使用してはいけません。, これらの問題は本来SSLでサポートされているはずの2番(通信相手が正しいことの保障)が無いことに起因しています。, さて、それでは通信相手が正しいことの保障はどうやって行えば良いのでしょうか。 つまり正解は1枚目が表示された場合は受け入れても良く、2枚目が表示された場合は拒否する必要があるわけですが、発行対象、発行者、シリアル番号、有効期限のどれを見ても同一になっており、これを判断できる人は、ほぼいないと思います。, 攻撃者の証明書が表示されたときに受け入れてしまった場合、外見上は何も問題はありません。 中間CAの証明書には同様に一つ上位の認証局が記載されており、これを順に上位にたどることによってルート証明書にたどり着くことができます。, ドメイン認証SSL(DV SSL)の場合、サーバ証明書の発行時点でサーバのドメインを保持していることを中間認証局が確認した上で証明書を発行します。(ドメイン名のついたメールアドレスへの到達確認など) 警告が表示されるサイトでも問題ないという社員教育を行っていると、プライベートにおいてネットショッピングなどをした際に、自分の会社のイントラネットのページも同じように警告が出ているから、このサイトも警告が出ていても暗号化されているから大丈夫と解釈をして、フィッシングサイトに引っかかることもあり得ます。このような被害者を生み出さないようにすることも、システム管理者の役割と考えます。, 「自己署名証明書」だと分かっていてアクセスし、ブラウザが警告を出すけれどそれをあえて無視するのだ、という考え方では、そのサイト自体を偽装された場合、フィッシング詐欺サイトを用意した悪意ある第三者の思う壺になってしまいます。, 銀行などのサイトで自分の口座にアクセスするときなどは「フィッシング詐欺にかからないように・・・」という自制心が働きますが、「自己署名証明書だと分かっているから安心」という思い込みがかえって仇となるわけです。 内部的なドメイン(Internal Domain Name)として使用される.local。 test.local, test.internalといったローカルドメインを使用しているケースが多い。 ローカルドメインを使用している中で発生する問題のひとつである「SSL証明書をどうするか?」という問題の対応を記載する。 拡張子が色々あって混乱するので、まずは一覧。 Firefoxを使っている場合、このような警告ページが表示され、証明書に問題があることが示されますが、例外として証明書を受け入れることでページが表示されます。, この画面は証明書の期限切れ、証明書の更新、使用ブラウザの変更、PCの変更などの理由により、同一人物であっても何度も目にすることがあり、繰り返される警告画面に慣れてしまった人の中には、証明書の中身を見ずに接続している人も多いかと思います。, さて、いつものようにサーバに接続した際、良く見かける警告画面が表示され、安全のために証明書を確認した際に以下の画面のいずれかが表示されたとします。この画面を見てOKを押さないでいられる人が何人いるでしょうか。, 1枚目の画像は正規の証明書ですが、2枚目の画像は攻撃者が作成した証明書です。(今回はテスト用に証明書を作成) 前回の記事で、オレオレ認証局 (プライベート認証局) の構築と、それを使ったウェブサーバ証明書の発行を紹介しました。記事の最後に、その他の証明書活用を紹介しましたが、今回はそのなかから「クライアント証明書」の事例を解説します。 当ブログの運営・管理を担当。, SSL・クライアント証明書・メールセキュテリィなどのキホンから応用までを詳しく解説したPDF資料をご用意しております。. 所属:GMOグローバルサイン マーケティング部 例えばメールやHTTPのサイトで配布する方法がありますが、これはインストールする証明書自体を安全ではない経路で送信していることになります。前項で示したように、この方法では攻撃者の発行した証明書をインストールしてしまうことがあり、安全ではありません。, 比較的安全なやり方の例としては、フロッピー・USBメディアなどの物理媒体を用いて別経路で送付する方法があります。これであれば途中ですり替えられる可能性は低いため、正しいサーバ証明書をクライアントに届けることができます。, しかし、これは手間・費用共にコストがかさみますし、サーバ側で証明書を更新した際にメディアが届くまでの間通信できないなどの問題もあります。, WindowsやMacといったOSには出荷時点で「厳格に審査された信用できる認証局」を記したルート証明書が内蔵されています。これらのルート証明書はHDDやSSD、またはDVDなどのインストールメディアといった物理媒体に書き込まれて配送されるため、フロッピーやUSBメディアなどを使用した受け渡しと同様、安全(とみなせる)経路で配信されており、信用して良い認証局とみなすことができます。, これらの信用できる認証局は下位にあたる中間認証局(中間CA)に対し、署名付きの証明書を発行します。 Why not register and get more from Qiita? オレオレ証明書の意義について; オレオレ証明書に潜む危険について; Q: 主要なサイトを問題無く閲覧できるのはなぜ?サーバ証明書をインポートした覚えはないよ? 例1: Amazon の偽サイト Amazan; 例2: Gmail を使いやすくする Web サービス Gmail+ JINS PC を使い始めました。普段はメガネをかけていないため、レンズに照明がうつり込むのが気になる、耳が痛い、と気になって気になってしかたがない yone です。効果があればよいのですが。, 前回の記事で、オレオレ認証局 (プライベート認証局) の構築と、それを使ったウェブサーバ証明書の発行を紹介しました。記事の最後に、その他の証明書活用を紹介しましたが、今回はそのなかから「クライアント証明書」の事例を解説します。, 一般公開しているウェブページではなく、特定の人だけに見せたいページを作る場合、Basic 認証を使うことが多いでしょう。ほぼ全てのブラウザが対応しており、広く使われています。, お手軽でよいのですが、盗聴・改竄に弱いという弱点があります。弱点を改善した Digest 認証というものがありますが、Basic 認証ほど普及していないようです。Basic 認証 + HTTPS の合わせ技である程度の防御力は付きますが、しょせん手で入力できる量の秘密情報なので、重要情報のガードとして使うのには心許ありません。, HTTPS の証明書はウェブサーバの証明書が有名ですが、実は PC にも証明書をいれることができます。そのうちの一つが、クライアント証明書です。ウェブサーバ証明書は、ウェブサーバが本物かどうかを証明しますが、クライアント証明書は接続元 (ユーザ) が本物かどうかを証明します (SSL クライアント認証)。これは、Basic 認証の代替となります。, Basic 認証と SSL クライアント認証の違いを乱暴に例えると、テンキーで暗証番号入力をしていたものを、IC カードで解錠するようにする、ということに近いイメージでしょう。, HTTPS ウェブサーバの設定を変更し、クライアント証明書による認証をするよう設定します。以下は、Apache httpd の設定方法になります。, SSL クライアント認証を使う場合は、下記のようになります。この設定は、Common Name が yone, foo, bar のいずれかの場合のみアクセスを許可します。, 本来はユーザが自分で証明書を作り、認証局はそれに対して署名をするというのがスジですが、今回はすべて認証局上で作業してしまいます。ユーザは出来上がった証明書ファイルをいきなりもらう形になります。, 認証局上で下記のように実行します。第一段階は、証明書の生成です。Common Name にユーザ名を入力してください。, Internet Explorer へ登録する方法を紹介します。Mozilla Firefox 等の場合は、それぞれのソフトウェア内で証明書を登録してください。, Basic 認証ダイアログの代わりに、証明書の確認ダイアログが出ます。先ほどインポートしたクライアント証明書であることを確認して、OK を押下します。認証をパスすると、Basic 認証と同様、ブラウザを閉じるまでは証明書を再度選択することなく秘密のページへアクセスできます。, クライアント証明書をインストールしたノートPCを紛失した、PCがウィルスに感染してPC内のファイルを抜かれているかもしれない、などなど、クライアント証明書を信用できなくなった場合はその証明書を破棄・無効にします。使う人は同じだけど、デスクトップPC・ノートPC・スマートフォンなどへ別々のクライアント証明書を発行している場合は、信頼できなくなった証明書のみを破棄すれば、他の証明書を使ったアクセスはそのまま使い続けられます。, クライアント証明書は有効期限を持っています。今回は 365日間有効で生成しているので、1年後に使えなくなります。, 駆け足ですが、SSL クライアント認証の構築方法を説明しました。SSL クライアント認証を使うと、Basic 認証 + HTTPS よりもセキュリティを高めることができます。すこぅし管理が面倒ですが、大事な大事な情報を外部からアクセスするページには、導入を是非検討してみてください。.

TIS Engineer Advent Calendar 2015 4日目はExcelから予定を変更して証明書のお話です。, SSLサーバ証明書を用いたHTTPS通信は一般的になってきましたが、社員向けWebサービスなどにおいては自己署名証明書(通称:オレオレ証明書)が使われている例も少ないながら見受けられます。 そしてその中間認証局はまたその下の中間認証局に対し署名付きの証明書を発行し……と、数段(実際には1~2段)を経て、最終的なサーバ証明書を発行します。, 例としてGoogleの証明書を見てみると「証明書の階層」としてこの認証の連鎖が表示されています。, サーバ証明書を検証する際は逆に下から順に辿っていきます。まず、サーバが返したサーバ証明書には発行元の中間CAによる署名が記載されているため、発行元の中間CAを知ることができます。

.

風邪 の時 夫婦 4, ラジカル 意味 医療 9, 303 サーフボード 評判 5, たまひよ 授乳ライト 使い方 5, Mac エクセル Sumif 6, ラストクリスマス 和訳 アリアナ 5, Cefr 高校卒業 レベル 8, ロシア人 男性 顔 7, Sql In句 複数 6, Toto 便器 コーティング 4, Jgr Hf1 初心者 4, 質問箱 Bot ブロック 6, 御高診 御 高配 意味 6, Access フォーム レコード検索 移動 7, 大阪 府立 大学偏差値 4, 魔法少女リリカルなのは Ss オリ 主 チート 25, ファイティング ラビッツ バスケ 5, 小野田坂道 チート 小説 4, Gbc スコア 換算 23, ユニクロ プレミアムリネンシャツ メンズ サイズ感 5, 内田 雄 馬 歌詞 4, Janne Da Arc 4, 服 チクチクする ダニ 6, またたび 匂い 人間 11, Joie ベビーシート 説明書 5, Pubg クロスプレイ スマホ Pc 7, スプラ トゥーン 2フレンド申請 きたら 6, 歌詞 引用 英語 4, 中学 技術 製図 練習問題 29, インスタライブ 加工 追加 6, 大阪 府立 大学偏差値 4, F 01j ロック解除 5, 楽天モバイル 申し込み状況 進まない 48, ナッツrv クレア 新型 6, スープラ Mt 換装 4, ラジコン 仕組み 回路 6, モンシロチョウ 幼虫 足の 位置 27, ソシャゲ 廃課金 有名人 14, ミサンガ 引っかかっ て 切れた 7, もと ちゃんと ママの関係 56, Ruby Windows 相性 17, Arduino Due I2c 通信 7, Youtube 全画面 できない Ipad 27, 2az オルタネーター 異音 6, サンムーン バンギラス 育成論 5, 犬 虫除け ハーブ 7, 上白石萌音 ピアノ 実力 11, スパイダーバース 吹き替え 無料 26, 大阪 府立 大学偏差値 4, Jin フッター カスタマイズ 6, Youtube 鬼 滅 の刃 最終話 4, 壁の 凹み パテ 8, Nfc とは ドコモ 9, Fx 負け たら 8,