- ベストアンサー
SSLで独自CAを設置した場合
IEでブラウジングしていると、ときどき「このセキュリティ証明書は 問題があります」や「このセキュリティ証明書は信頼できる会社から 発行されていません。続行しますか?」などという表示がでます。 今後、自前のサーバをSSLにしたいのですが、ユーザを不安にさせる ので上記のような表示がでないようにしたいと思っています。 独自CAを自前で設置すれば解決しますでしょうか? SSLの動作についてまだ理解していなく、どうかお教えください。
- nihon_no_samurai
- お礼率70% (315/444)
- Linux系OS
- 回答数3
- ありがとう数3
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
> IEでブラウジングしていると、ときどき「このセキュリティ証明書は > 問題があります」や「このセキュリティ証明書は信頼できる会社から > 発行されていません。続行しますか?」などという表示がでます。 ブラウザにはあらかじめで Verisign, Thawte, GeoTrust などの有名な認証局のルート証明書がインストールされています。従って、これらの認証局に署名してもらった証明書を利用していれば警告は出ません。ちなみに、チェックされる項目は以下の3点です。いずれかを満たしていない場合、警告が出ます。 - 信頼された認証局 (IE ですと、「ツール」-「インターネットオプション」-「コンテンツ」タブ-「証明書」-「信頼されたルート証明機関」タブで確認できます) によって署名されていない - 証明書の有効期限が切れてしまっている - サイト名が証明書の CN (コモンネーム) と一致しない 信頼された認証局には自前の CA で作成したルート証明書を追加できるので、アクセスしてくるユーザが特定であれば、それを追加してもらうことで解決できます。しかしながら、アクセスしてくるユーザが不特定な場合は事実上不可能と考えてください。この場合の解決方法は、お金を出して「信頼されたルート証明機関」にデフォルトで登録されている認証局に署名してもらった証明書を利用することです。 従って、不特定多数の人に公開するサイトで独自 CA を作成することは暗号化要件は満たせるものの認証要件は満たせません (つまり、アクセスしてくる人に信頼してもらえない)。
その他の回答 (2)
ユーザがSSLを使う理由としては、 通信内容を暗号化する以外にも、 ユーザが開いたサイトが、あなたの会社が作成したことの証明にも使用されます。 独自CAではユーザから見てあなたのサイトの正当性が確認できないのです(暗号化はできる) これをユーザが許容するのかが問題になりますね。
お礼
ありがとうございます!
- FoggyMountain
- ベストアンサー率21% (79/372)
>ユーザを不安にさせるので 警告メッセージを隠蔽してユーザを安心させたいのでしょうか? そんなサイトは迷惑です。 ユーザを不安にさせたくないなら、誰も信頼してくれない独自CAなど立てるのはやめましょう。
お礼
ありがとうございます!
お礼
ありがとうございます!