> ・PCの情報が抜き取られる。 > ・PCが乗っ取られる > といったリスクはあるのでしょうか？ フィッシングサイトに誘導されたら、そこからPCにウィルスを 仕込まれ、ウィルスの活動でPCの情報が抜き取られたり 乗っ取られたりする可能性があります。 > 「接続時の警告メッセージで許可をする」のと「プライベートCA証明書をインストールする」 > はどういったリスクの差があるのでしょうか。 接続時の警告メッセージを許可するのは、意図しているサイトと別のサイトに 接続している可能性があるのにそれを無視すると言う危険な行為です。 ホテルのインターネット接続や公衆無線LAN等、誰がどこまで管理しているか わからないネットワーク環境を使って外出先から接続した場合、 たとえアクセス先のURL(ホスト名)が正しく見えても、中間者攻撃によって、 不正サイトを経由してアクセスしているかもしれません。 プライベートCA証明書をインストールするのも、外出先からインストールするのは 前述の通り不正サイトを経由して操作される可能性があるので危険です。 (社外からプライベートCA証明書をダウンロードできるようにするのはダメです) が、社内の安全が保証されている環境内で配布してインストールするのは よいと思います。 というか、社内でCA証明書をインストールしてから外出すべきです。 社内サーバにアクセスする時は警告が出ないようにし、警告メッセージが 出るのは危険である(社内サーバにアクセスしているつもりが社内サーバでは ないかもしれない)ことを認識させるべきです。

えぇっと、かなり間違って理解されているようなので、ちょっと長めの回答になります。 (^o^ゞ ◆ まずは質問に対する回答 ◆ > ～といったリスクはあるのでしょうか？ 証明書の問題では無く、「サイトに何が仕込まれたか」によります。 分かりやすく言うと、“社内に事務処理用のサーバ” が乗っ取られた場合に、各自の “PCが乗っ取られる” というリスクが発生します。逆に言えば、サーバが無事なら各自のPCもリスクはありません。 > ～はどういったリスクの差があるのでしょうか。 自分で作った証明書をインストールするのには、何のリスクもありません。 警告メッセージで許可をする場合は、事務処理用のサーバがアダルトサイトや詐欺サイトに書き換えられていないか自分で判断する必要があります。 ◆ 誤解について ◆ > フィッシングサイトに誘導されても警告画面がでない。 べつに証明書がフィッシングサイトへの誘導をガードしているワケではありません。 証明書は、「サイトのURLが実在している」「証明書で示したURLにアクセスしている」を保証しているだけであって、そのサイトがフィッシングサイトか否かは保証していません。 ベリサイン社が発行した証明書でもフィッシングサイトの可能性はありますよ。 > 不正なプライベートCA証明書をインストールしてしまう あなたが作った証明書をインストールする話しなので、それが不正か否かは自分自身の問題です。 > ～プライベートCA証明書の権限が大きいので～ CA証明書に権限なんてありません。 役割として「下位の証明書を発行できる」がある程度です。 ◆ どうすべきか ◆ だいぶ間違って理解されているので、証明書の意味をキチンと勉強してもらうのが前提として・・・。 証明書は二層以上で構成します。 文面から判断するに、一層式の自己証明書をサーバで使用しているように見受けられます。 これを、自己証明書（ルート証明書） ＋ サーバ証明書 の二層式にします。 各自のPCにインストールするのは上位の自己証明書です。サーバにインストールするのは下位のサーバ証明書です。 二層以上で構成するのが、本来の証明書チェーンの形式です。 一層の証明書は、webシステムの開発段階でテストに使用するためのものです。 あと、証明書の作成ソフトは↓コレかOpenSSLね。 http://www.vector.co.jp/soft/winnt/util/se479199.html