「サーバ証明書」を含む日記

はてなキーワード: サーバ証明書とは

2024-03-21

■anond:20240321153145

サーバ証明書作るのが難しいんだよ。だいたいはオレオレ証明書というのを作るんだけど、その場合クライアント側にその証明書をインストールしないといけなくて、その設定がまた難しい。この設定を一般ユーザにやらせるのはまず無理。

「.internal」という新しいトップレベルドメインが新設されるかもしれないようだけど、このドメインでオレオレ証明書じゃないサーバ証明書を作れれば、ローカル IPに警告なしでHTTPSするのが難しい問題が解決されるかもしれない。

Permalink | 記事への反応(2) | 15:41

2020-06-09

■公開鍵暗号方式を理解するのってなかなか難しい

anond:20200608212713

元エントリーの人がどこまで理解しているか不明だけど、自分が初心者だったときこういう説明がほしかったという話をしてみる。

暗号方式、特に公開鍵暗号の理解が難しいのはいくつか理由がある。

①物理的なものに例えられない

②素朴な利用例が少なく応用的な利用がいくつもある

③実際の利用例はアプリの一機能になっていて見えづらい

また、ざっくりした概念以上のものをきちんと理解しようと思うと

④何がどのくらい安全で何がどのくらい危険かセキュリティ的な概念の説明

⑤数学的な仕組みの説明

が必要になり、これがまた挫折の原因になる。

ここでは自分的にこういう順番で概念を把握していったという流れを書いてみる。

利用者 から見た公開鍵暗号の特徴

まず、物理的な錠前や書留郵便をイメージするのはあきらめてほしい。

あくまでもデジタルデータを別のデジタルデータに変換して再び元に戻すためのものだ。

公開鍵暗号登場以前は、パスワードを使って変換（暗号化）して、同じパスワードを使って元に戻す（復号化）という共通鍵暗号の時代が長く続いた。

そこに、ひとつの大発明があった。

それが暗号化のパスワードと復号化のパスワードで異なるものを使うという技術だ。

・特殊な数学的アルゴリズムでパスワード１から、それと対になるパスワード２を生成する

・パスワード２からパスワード１を逆算することは困難

・パスワード１で暗号化したものがパスワード２で復号できるだけでなく、その逆つまりパスワード２で暗号化したものがパスワード１で復号できる（※）

今はその数学的アルゴリズムまで理解する必要はない。ただそういうことが可能になったというだけでいい。

パスワード１（秘密鍵）を自分以外が見られないように保管して、パスワード２（公開鍵）を通信相手に渡せば暗号通信ができそうということは理解できると思う。

ちなみにこのパスワードの長さは、プログラムで生成した100桁以上の数字が使われることが多く、それを定型的な千文字程度のテキストにして使われるのが一般的。

ツールで生成すると千文字程度のテキストファイルが秘密鍵用と公開鍵用の2個できる。

これだけの桁数なので暗号化復号化の計算はそれなりに時間がかかる。（※）

（※）このあたりは一般的な公開鍵暗号というよりRSA 公開鍵暗号特有の話も混ざってます。詳しくは専門書参照

応用的な利用

次にこの発明を使ったらどういうことができるだろうか、応用できる先を考えてみよう。

(a)秘密鍵で暗号化した文書を送るね。公開鍵は〇○○だよ

誰でも最初に思いつく例だけどシンプルすぎて共通鍵と変わらなくありがたみがない。

(b)僕にメッセージを送るときは僕の公開鍵で暗号化してね（いわゆる公開鍵暗号）

これだと「僕」以外は秘密鍵がなく復号できないので安全。

メッセージの送信先を間違って別人に送ってしまっても他人は読めないし、経路のどこかで盗み見や内容の一部を改竄されたりすることがない。

メッセージに返信するときは今度は「僕」ではなく相手の公開鍵を使って暗号化する。

(c)本文を毎回全部暗号化すると時間がかかるから共通鍵を君の公開鍵で暗号化したものを送るね。それを君の秘密鍵で復号したら以降は高速な共通鍵暗号で通信しよう（鍵交換）

共通鍵暗号の高速性というメリットを利用できて、かつ生の共通鍵がネットに流れるリスクを排除した良いとこ取りの方式。

(d)暗号化しない本文と、本文から計算したハッシュ値を秘密鍵で暗号化したものを送るね。公開鍵で復号化したハッシュ値がそっちで計算したハッシュ値と同じなら本文は改竄されてないよ。

それからこの暗号化は僕しかできないから確かに僕から送られた文書、僕から送られた内容であると保証できるよ。（電子署名）

この「電子署名」の実現により、さらに次のような応用が可能になる。

(e)ログイン時に毎回パスワードを打つと見られたりして危険だからユーザ名等に署名したものを送るね。公開鍵で復号（検証）OKならログインさせて（公開鍵認証）

(f)僕は信頼できるよ。これがAさんの署名入りのお墨付き。検証してみて。

Aさんは信頼できるよ。これがBさんの署名入りのお墨付き。検証してみて。

Bさんは信頼できるよ。これが世界一信頼できる人の署名入りのお墨付き。検証してみて。

（サーバ証明書）

アプリの一機能としての見え方

前項のようなやりとりはほとんどアプリが自動的にやってくれるので、コンピュータ技術者以外の人が公開鍵や秘密鍵を直接扱う機会は現状ほとんどないと思う。

ウェブブラウザのアドレス欄に鍵マークが表示されていたらそれは鍵交換やサーバ証明書技術が使われていて、鍵マークを右クリックすると証明書を表示できる。

メールアプリでも最近は自動的に鍵交換やサーバ証明書が使われている。

もしメールアプリにPGPの設定オプションがあればそこで公開鍵と秘密鍵を設定すると特定の相手と本格的な暗号化メールがやり取り可能になる。

サーバ操作するコンピュータ技術者だと公開鍵認証もよく使われていて、ツールで生成した公開鍵をサーバに登録してログインに利用してる。

Permalink | 記事への反応(1) | 20:11

2017-11-13

■"SSL証明書"という言い回しが嫌い

SSL証明書、無料 SSL、マネージドSSLなどの造語が好きじゃない

一部頑なにSSLという言い回しを好む人がいて、サーバ証明書をSSL証明書というせいで、TLSの場合は？とかよく分からない疑問を生み出すし

TLSじゃないのか？みたいな混乱を生み出すし

無料じゃないSSLとかあるのか？と思う。

HTTPS 対応も、SSL 対応とか言うし、もうめちゃくちゃだなって思う

Permalink | 記事への反応(0) | 14:58

2016-11-29

■http://anond.hatelabo.jp/20161129122318

PCに保存されてるサーバ証明書が古い

Permalink | 記事への反応(0) | 12:31

2012-04-23

■Windows 2008 R2 IIS と証明 機関で SSL 証明書を構成する

なんつうめんどくさい。。。

1.当然のことだが、最初にインターネットインフォメーションサービスと証明機関(WEB発行オプションも)の役割を追加

2.証明書の要求ファイルを作成(IIS マネージャを開いて、ツリーのサーバ名のところをクリック。右ペインのIISのところのサーバ証明書をダブルクリック。右の「操作」メニュー参照)

3.自己署名入り証明書を作成(IIS マネージャを開いて、ツリーのサーバ名のところをクリック。右ペインのIISのところのサーバ証明書をダブルクリック。右の「操作」メニュー参照)

4.サイトのDefault Siteへhttpsをバインド(IIS マネージャのツリーのサイト名から Default Web Site 選択。右メニューのバインドでhttpsを追加。SSL証明書に自己署名した証明書を指定)

5.https://localhost/certSrv/ へアクセス。証明書を「詳細」要求する。ここで、要求ファイルの中身を貼り付ける。

6.「証明機関」で証明書を発行

7.https://localhost/certSrv/ へアクセス。発行された証明書をダウンロード。

8.「証明書の要求の完了」で、取り込み(IIS マネージャを開いて、ツリーのサーバ名のところをクリック。右ペインのIISのところのサーバ証明書をダブルクリック。右の「操作」メニュー参照)

9.SSL 対応するサイトのhttpsをバインド。

Permalink | 記事への反応(0) | 14:11

2009-03-03

■http://anond.hatelabo.jp/20090303101133

CMで連呼されているURLを手打ち。
httpsでアクセスしてサーバ証明書を確認
＃「○○で検索」式のCMは良くないよね

これがそうでもなくてね。

たとえば、yaho.comとかyahooo.comとかyaafoo.comとかtypoや勘違いする人はいるだろうし、

smbc smdc sbmc msbcとかhatena .jp？hatena.co.jp？hatena.ne.jp？とか。

昔は、こういうので広告とかフィッシングもあった気がします。

だから、検索してもらって、検索結果を見て判断してもらった方が安全ではないか？というわけです。

Permalink | 記事への反応(0) | 11:44

■http://anond.hatelabo.jp/20090302213311

フィッシング詐欺を考えたとき，結構難しいことに気づいた．
TVCMを見て，よしっ,example銀行で取引するぞ，と思ったとするよね．
それなら，普通ググってexample銀行へ行くよね．
googleが間違った偽サイトを返してきたらどうするの?
検索結果が，man in middleされてたらどうすんの?
URLを手打ちすればいいの?

CMで連呼されているURLを手打ち。

httpsでアクセスしてサーバ証明書を確認

＃「○○で検索」式のCMは良くないよね

じゃあ電波がman i(ry

これもhttpsで保証される

結局は，ウェブでも，何かを信用するしかないということかな．

何かを信用しなければいけないとしても、「何を」信用するかを考えると言うこと。

＃httpsの仕組みではルート証明局(の証明書をブラウザに仕込んだブラウザ屋さん)

Permalink | 記事への反応(2) | 10:11

ようこそゲストさん