セキュリティ / SSL => OpenSSLについて > 2.公的CA(認証機関)と独自CAの違いについて
ここで指している公の認証期間とは、 ベリサインなどの認証機関のことです。自CAとは、自分で立ち上げる公には認められていない認証機関のことです。
日本ベリサインから証明書を取得、又は更新の際には、所在地など厳しい審査があります。また、個人自業者は取得不可であったり、全てに対して証明書が発行されるわけではありません。
これらはベリサインが、間違いなくこのサイトは本人が立ち上げているという保証でもあります。そのため、そのサイトでトラブル が発生した場合、ベリサインがサイトの身元を確実に特定できるため、利用者は安心して利用できる訳です。
ブラウザは、そのサーバーが提示している証明書は信頼される認証機関が発行したものだから(有効期限内であれば)警告を出さないようになっています。
これに対し、自分で立ち上げたCAにより発行した証明書でApache SSLWebサーバーを立ち上げた場合、信頼された証明機関の発光する証明書ではない旨の警告がでます。
先に説明したクライアント認証を行う場合、ユーザー側で明示的に自CAを信頼できる機関とする必要があります。これにより警告も出なくなりますが、この行為はユーザーに対し一定のセキュリティリスクを課す事になります。
もし、自CAの秘密鍵が外部に洩れた場合、外部に自CAと同じ認証機関を立ち上げる事が可能になります。このような詐欺サイトに、以前、自CAを信頼する と設定したユーザーが接続すればブラウザなどクライアント側のプログラムは、警告を出さなくなります。
個人情報を送った場合、それは盗まれる事になります。詐欺サイトの身元は、自CA、つまり、あなたが証明していることになります。そのため自CAを他人に信頼してもらう場合はCA管理の責任は重大になります。
このサイトでは限られたユーザー(社内のみの利用)に限定しています。オンラインコマースなど不特定多数に提供するサービスではありません。
自CAの秘密カギを含むディレクトリは、MOなどのリムーバブル記憶領域で行い、CA管理者の業務が終了すればイジェクトし、コンピューター外部に保存する事でリスクを軽減できます。
あるサイトにアクセスすると、ブラウザが以下のような警告を出す事があります。
ブラウザが このサイトの証明書は信頼できる機関が発行したものではないが受け入れるか?
もし、受け入れた場合、このサイトが使用している証明書の発行元を信頼する事になり、ブラウザによっては今後、発行元が同じ証明書を使用しているサイト、サービスにおいて、このような警告を出さなくなります。
もし、このサイト証明が外部の何者かによって悪用された場合、それらの SSL で暗号化されたサイトにアクセスしてもブラウザは警告を出さなくなります。 つまり、独自CA で作成する証明書を一般に公開するとこのようなリスクを接続したもの全てに課すことになるため、不特定多数に公開するサービスでは決して利用すべきではありません。
この標題のトップへ 2 / 5 
