SSL証明書の違いについて

なんとなくの認識で、SSL証明書であれば、
ネームバリューの違い・携帯対応か否か・ブラウザからの警告の有無の違いはあるにせよ、
セキュリティー上の問題は実質ほぼないと思っています。

これについて詳しく解説しているサイトを教えてください。

回答の条件
  • URL必須
  • 1人1回まで
  • 登録:2008/06/09 20:25:54
  • 終了:2008/06/10 21:20:22

ベストアンサー

id:hogege No.1

hogege回答回数61ベストアンサー獲得回数42008/06/09 22:04:34

ポイント40pt

悪意のある者があなたのサイトを語り偽サイトを立ち上げて、

あなたのサイトのユーザーを偽サイトに誘導された場合を考えてみるとどうでしょうか?


ユーザーが(本物の)あなたのサイトにアクセスしている場合に限っては特に問題はありません。


しかし、ユーザーが偽サイトに誘導され、偽サイトとは気づかずに本物のサイトと思いこんで

アクセスした場合、ユーザーID・パスワードなどを偽サイトを設置した者に取得されてしまう

と言う危険があります。


IEに標準でインストールされているルート証明機関が発行した証明書であれば、

まぁ、Microsoftお墨付き(Microsoftにより信頼された証明機関が発行したものである)。


標準でインストールされてないルート証明機関が発行した証明書であれば、

ユーザーが「信頼できる証明機関」かどうかを判断しなければなりません。

(まぁ、大概のユーザーはそんなの判断できないです)


オレオレ証明書に関しての問題点としてですが、

高木さんの記事があるのである程度は参考になります。

http://takagi-hiromitsu.jp/diary/20071125.html

id:kou32rr

すみません。どうやら質問の仕方が悪かったようです。。。

SSL証明書についてベリサイン、ジオトラスト・・・等料金もまちまちながらいろいろありますが、

自分で証明書を導入する時の判断材料として、

高い証明書ほどセキュリティーが高いのかどうか知りたかったです。

なんとなく、証明書の値段=保険料みたいな認識があったので、

はっきり理解できる情報を探しておりました。

2008/06/09 22:50:11

その他の回答(2件)

id:hogege No.1

hogege回答回数61ベストアンサー獲得回数42008/06/09 22:04:34ここでベストアンサー

ポイント40pt

悪意のある者があなたのサイトを語り偽サイトを立ち上げて、

あなたのサイトのユーザーを偽サイトに誘導された場合を考えてみるとどうでしょうか?


ユーザーが(本物の)あなたのサイトにアクセスしている場合に限っては特に問題はありません。


しかし、ユーザーが偽サイトに誘導され、偽サイトとは気づかずに本物のサイトと思いこんで

アクセスした場合、ユーザーID・パスワードなどを偽サイトを設置した者に取得されてしまう

と言う危険があります。


IEに標準でインストールされているルート証明機関が発行した証明書であれば、

まぁ、Microsoftお墨付き(Microsoftにより信頼された証明機関が発行したものである)。


標準でインストールされてないルート証明機関が発行した証明書であれば、

ユーザーが「信頼できる証明機関」かどうかを判断しなければなりません。

(まぁ、大概のユーザーはそんなの判断できないです)


オレオレ証明書に関しての問題点としてですが、

高木さんの記事があるのである程度は参考になります。

http://takagi-hiromitsu.jp/diary/20071125.html

id:kou32rr

すみません。どうやら質問の仕方が悪かったようです。。。

SSL証明書についてベリサイン、ジオトラスト・・・等料金もまちまちながらいろいろありますが、

自分で証明書を導入する時の判断材料として、

高い証明書ほどセキュリティーが高いのかどうか知りたかったです。

なんとなく、証明書の値段=保険料みたいな認識があったので、

はっきり理解できる情報を探しておりました。

2008/06/09 22:50:11
id:pahoo No.2

pahoo回答回数5960ベストアンサー獲得回数6332008/06/09 22:27:16

ポイント20pt

質問の主旨がよく分からないのですが、守るべき(セキュリティー対策すべき)「対象物」は何でしょうか? 「SSL証明書」は単なる「手段」にすぎません。


たとえばエンドユーザーが、自分自身の個人情報を守るために、サーバSSL証明書が明示されているWebサーバにのみ個人情報を開示することが十分安全かという問いであれば、答えは「否」です。

サーバSSL証明書は、そのサーバが実在さえしていれば発行されるので、信用に足る組織が運営されているかどうかを保証するものではありません。クライアントSSL証明書についても同様のことが言えます。


参考サイト

id:kou32rr

まずは、私の質問の仕方が悪かったようです。。。すみません。

>そのサーバが実在さえしていれば発行されるので、信用に足る組織が運営されているかどうかを保証するものではありません。

例えばその組織のサーバが乗っ取られてしまえば、

値段が高かろうと関係ない。

つまりある程度信用できる組織(ジオトラスト等)が発行しているものであれば、

他の高額証明書と変わらない。と取れると思いました。

2008/06/09 22:55:01
id:gallu No.3

gallu回答回数3ベストアンサー獲得回数02008/06/09 23:56:02

ポイント20pt

がると申します。

まず「ブラウザからの警告の有無」は、セキュリティ上十分に問題視すべき部分です(警告が出ているわけですし)。

一方で。平たく言うと、例えば「ジオトラスト」と「ベリサイン」であれば、私ならベリサインをチョイスしますが。

それは、特に「携帯端末への対応の有無」の問題です。

ただ一方で。

以前にうちのBlogで書いた事があるのですが。

http://d.hatena.ne.jp/gallu/20060213/p1

3.1.8.1 組織向け証明書の利用者の同一性の確認

3.1.8.1.1 リテール組織向け証明書の確認

なんてものの存在を考えると、各社結構対応が違いそうに思います(ジオトラストに上述と等価なサービスがあるかどうかは知りません)。

以上なにか参考にでもなれば幸いです。

id:kou32rr

ありがとうございます。

携帯端末への対応の有無以外のメリットが知りたかったです。

Blog後で拝見させていただきます。

2008/06/10 16:19:07
  • id:hogege
    回答できないのでコメントで。

    とりあえずこの記事が参考になるかも。
    http://www.atmarkit.co.jp/fwin2k/operation/iisssl02/iisssl02_01.html

    「証明書」は「サイトを証明してもらうもの」なので、どこまでを証明機関に
    証明して貰うか?って事ですかね。

    高いところはサイト(URL)とサイト運営者(管理者?)の実在証明まで行うのが多い。
    安いところは、サイト(URL)の実在証明までしか行わない。

    証明書は、利用者に対して「このサイトは信頼できるサイトですよ」という事を示す為の物なので
    利用者に対してどこまでを証明したいのかによって証明機関を選択すればいいと思います。

  • id:hogege
    と言う事で、フィッシング(偽サイト)の危険性を除けば
    特にどの証明機関でもあまり変わりはないと言う事になるかな?

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません