- 締切済み
SSLの電子証明書を使った身元保証について
別のカテで質問したのですが回答が得られなかったので、もう一度質問します。 知識がほとんどないまま毎日のようにインターネットを利用しているのでこれではいかんと、独学でインターネットのことについて勉強していて、度々こちらでもわからないことを教えてもらっています。 今日は、セキュリティーのことについて勉強しているところなのですが、SSLの電子証明書を使った身元保証についてわからないことがあるので教えて下さい。 ネット上で商売をしようという業者は、認証局から電子証明書を受け取り、自社のWebサーバーにインストールしておきますよね? 買い物をするとき、顧客はSSLを業者に要求し、業者は電子証明書を送信し、顧客は業者を確認し、共通鍵を作成し、業者の公開鍵で暗号化して共通鍵を送り、業者は自分の秘密鍵で複合する、わけですが、具体的にどういうことなのかわからないんです。 買い物をしようとすると、認証局から電子証明書を受け取っている業者には、錠前のマークが出るんですよね? 錠前のマークをダブルクリックすると「証明書の情報」が開きますよね? 本当は、この情報を元に、相手の身元を確認する作業というのをしなければいけないものなのでしょうか? それとも、錠前マークが出ている時点で、自動的に確認が取れているということなのでしょうか? つまり、何がわからないかと言うと、「買い物をするとき、顧客はSSLを業者に要求し、業者は電子証明書を送信し、顧客は業者を確認し、共通鍵を作成し、業者の公開鍵で暗号化して共通鍵を送り、業者は自分の秘密鍵で複合する」この流れが、具体的にネットショッピングする際のどの作業のことなのかがイメージできないんです。 解説していただけると助かります。
- unfilm
- お礼率49% (128/260)
- その他(ネットショッピング)
- 回答数2
- ありがとう数1
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- PU2
- ベストアンサー率38% (1101/2843)
難しいことは他の人に任せるとして SSLのマークがあればその内容は暗号化されるだけです。 (ホームページアドレスがhttps://になります。) 電子証明書登録されてなくてもサーバーでSSLさえ利用可能になっていれば 間違ったことさえしていなければ暗号化はされます。 ただし、この場合は画面に危険ですよっていう表示がされます。 ちょっとわかりにくいですが 危険ですよっていう表示がされない場合はこのSSLは第三者の認証機関で 自動的に証明していますと考えればいいですね ただ、レンタルカートなどを利用しているショップも多々あり証明機関が 証明している会社(人)と買い物しているショップは異なる場合もよくありますので 本当の意味で身元確認が出来ているかはSSLでは私は疑問に思います。 (例えば楽天などの場合は身元は楽天ですのでショップ運営者ではありませんね) フォームから送られるデータはSSLで暗号化されていると考えるべきで 身元確認までは?なショップはたくさんあると考えてもいいと私は思います。 尚、SSLはメールでは全く意味がなくなります。 (住所などはメールで確認されますから意味無いということですね) 実際にSSLが必要なのはカード払いくらいかなと私は思います。
- kaede_c104
- ベストアンサー率48% (44/91)
質問者さまのご質問は情報技術に関する専門的で技術的な質問ですので、そちらのカテに質問された方が良回が得られたと思いますよ。 SSLはそもそもクレジットカードなどの情報を安全に送信するために開発された自動暗号化のプロトコルです。 ネットショッピングの際のイメージとしては、注文者の住所や決済方法(カード番号等)を入力するページです。 あのページで、”入力内容を確認して送信する”のようなボタンがあるかと思われますが、そのボタンを押したときに送信されるデータを自動的に暗号化してくれる仕組みがSSLです。 暗号化は、質問者さまが仰せのとおり、 データを共通鍵暗号方式(秘密鍵暗号方式)で暗号化し、暗号化に使用した共通鍵(秘密鍵)を、公開鍵暗号方式(受信者の公開鍵)で更に暗号化します。 その際、例えば受信者をBとしたとき、本当にその公開鍵が受信者Bのものなのかという正当性を証明するためにCAと呼ばれる認証局が公開鍵に対してディジタル証明書を発行します。 受信者Bは暗号化されたデータと共通鍵を受け取り、公開鍵暗号方式(受信者の秘密鍵)で共通鍵を復号化し、それによって生成された共通鍵(秘密鍵)でデータを復号化します。 注意:共通鍵暗号方式では共通鍵を秘密鍵とも呼びますが、公開鍵暗号方式の秘密鍵とは異なります。 このように、共通鍵暗号方式と公開鍵暗号方式を組み合わせて暗号化することを、ハイブリッド暗号方式と呼びます。 こうして暗号化の一連の流れを見てみると非常に面倒で素人には到底出来そうにありませんよね。 ですから、それを自動的に行ってくれる仕組みがSSLと考えて頂ければ良いかと思います。 厳密には違うのかもしれませんが、大方このような感じたと思われます。 以上、参考までに。
