なんとなくの認識で、SSL証明書であれば、
ネームバリューの違い・携帯対応か否か・ブラウザからの警告の有無の違いはあるにせよ、
セキュリティー上の問題は実質ほぼないと思っています。
これについて詳しく解説しているサイトを教えてください。
悪意のある者があなたのサイトを語り偽サイトを立ち上げて、
あなたのサイトのユーザーを偽サイトに誘導された場合を考えてみるとどうでしょうか?
ユーザーが(本物の)あなたのサイトにアクセスしている場合に限っては特に問題はありません。
しかし、ユーザーが偽サイトに誘導され、偽サイトとは気づかずに本物のサイトと思いこんで
アクセスした場合、ユーザーID・パスワードなどを偽サイトを設置した者に取得されてしまう
と言う危険があります。
IEに標準でインストールされているルート証明機関が発行した証明書であれば、
まぁ、Microsoftお墨付き(Microsoftにより信頼された証明機関が発行したものである)。
標準でインストールされてないルート証明機関が発行した証明書であれば、
ユーザーが「信頼できる証明機関」かどうかを判断しなければなりません。
(まぁ、大概のユーザーはそんなの判断できないです)
オレオレ証明書に関しての問題点としてですが、
高木さんの記事があるのである程度は参考になります。
悪意のある者があなたのサイトを語り偽サイトを立ち上げて、
あなたのサイトのユーザーを偽サイトに誘導された場合を考えてみるとどうでしょうか?
ユーザーが(本物の)あなたのサイトにアクセスしている場合に限っては特に問題はありません。
しかし、ユーザーが偽サイトに誘導され、偽サイトとは気づかずに本物のサイトと思いこんで
アクセスした場合、ユーザーID・パスワードなどを偽サイトを設置した者に取得されてしまう
と言う危険があります。
IEに標準でインストールされているルート証明機関が発行した証明書であれば、
まぁ、Microsoftお墨付き(Microsoftにより信頼された証明機関が発行したものである)。
標準でインストールされてないルート証明機関が発行した証明書であれば、
ユーザーが「信頼できる証明機関」かどうかを判断しなければなりません。
(まぁ、大概のユーザーはそんなの判断できないです)
オレオレ証明書に関しての問題点としてですが、
高木さんの記事があるのである程度は参考になります。
すみません。どうやら質問の仕方が悪かったようです。。。
SSL証明書についてベリサイン、ジオトラスト・・・等料金もまちまちながらいろいろありますが、
自分で証明書を導入する時の判断材料として、
高い証明書ほどセキュリティーが高いのかどうか知りたかったです。
なんとなく、証明書の値段=保険料みたいな認識があったので、
はっきり理解できる情報を探しておりました。
質問の主旨がよく分からないのですが、守るべき(セキュリティー対策すべき)「対象物」は何でしょうか? 「SSL証明書」は単なる「手段」にすぎません。
たとえばエンドユーザーが、自分自身の個人情報を守るために、サーバSSL証明書が明示されているWebサーバにのみ個人情報を開示することが十分安全かという問いであれば、答えは「否」です。
サーバSSL証明書は、そのサーバが実在さえしていれば発行されるので、信用に足る組織が運営されているかどうかを保証するものではありません。クライアントSSL証明書についても同様のことが言えます。
まずは、私の質問の仕方が悪かったようです。。。すみません。
>そのサーバが実在さえしていれば発行されるので、信用に足る組織が運営されているかどうかを保証するものではありません。
例えばその組織のサーバが乗っ取られてしまえば、
値段が高かろうと関係ない。
つまりある程度信用できる組織(ジオトラスト等)が発行しているものであれば、
他の高額証明書と変わらない。と取れると思いました。
がると申します。
まず「ブラウザからの警告の有無」は、セキュリティ上十分に問題視すべき部分です(警告が出ているわけですし)。
一方で。平たく言うと、例えば「ジオトラスト」と「ベリサイン」であれば、私ならベリサインをチョイスしますが。
それは、特に「携帯端末への対応の有無」の問題です。
ただ一方で。
以前にうちのBlogで書いた事があるのですが。
http://d.hatena.ne.jp/gallu/20060213/p1
3.1.8.1 組織向け証明書の利用者の同一性の確認
3.1.8.1.1 リテール組織向け証明書の確認
なんてものの存在を考えると、各社結構対応が違いそうに思います(ジオトラストに上述と等価なサービスがあるかどうかは知りません)。
以上なにか参考にでもなれば幸いです。
ありがとうございます。
携帯端末への対応の有無以外のメリットが知りたかったです。
Blog後で拝見させていただきます。
すみません。どうやら質問の仕方が悪かったようです。。。
SSL証明書についてベリサイン、ジオトラスト・・・等料金もまちまちながらいろいろありますが、
自分で証明書を導入する時の判断材料として、
高い証明書ほどセキュリティーが高いのかどうか知りたかったです。
なんとなく、証明書の値段=保険料みたいな認識があったので、
はっきり理解できる情報を探しておりました。