http://enterprise.watch.impress.co.jp/cda/topic/2007/04/12/10070.html
Verisignなどを利用しないで発行した証明書でWEBサイトを構築した場合、
(Windowsユーザの場合)利用者(ユーザ)のIEの「中間証明機関」や「信頼されたルート認証機関」には当然リストされていないので、
接続するたびに警告が表示されてしまうと思うのですが… 正しいでしょうか?
また、なぜ自前で発行した証明書を利用しているWEBサイトが日本には多いのでしょうか?
Verisignなどを利用しないで発行した証明書でWEBサイトを構築した場合、
(Windowsユーザの場合)利用者(ユーザ)のIEの「中間証明機関」や「信頼されたルート認証機関」には当然リストされていないので、
接続するたびに警告が表示されてしまうと思うのですが… 正しいでしょうか?
少なくとも初回はそれで正しい。
ただ、ブラウザによってはそのまま信頼する証明書として登録できてしまうので、2回目以降はアラートが出ない場合もある。
以下はその方法ですが、原則ダメダメな例と思ってください。
また、なぜ自前で発行した証明書を利用しているWEBサイトが日本には多いのでしょうか?
無知および(ゆえに?)発行に際してかかる手数料をケチっているだけです。
Verisignなどを利用しないで発行した証明書でWEBサイトを構築した場合、
(Windowsユーザの場合)利用者(ユーザ)のIEの「中間証明機関」や「信頼されたルート認証機関」には当然リストされていないので、
接続するたびに警告が表示されてしまうと思うのですが… 正しいでしょうか?
少なくとも初回はそれで正しい。
ただ、ブラウザによってはそのまま信頼する証明書として登録できてしまうので、2回目以降はアラートが出ない場合もある。
以下はその方法ですが、原則ダメダメな例と思ってください。
また、なぜ自前で発行した証明書を利用しているWEBサイトが日本には多いのでしょうか?
無知および(ゆえに?)発行に際してかかる手数料をケチっているだけです。
ご返信ありがとうございます!! とても勉強になりました!!
ユーザさんの中には認証局がどこかまで気にしないかもしれないですね…
日本に多いのには驚きですが、手数料の出し渋りとは… うーむw
いわゆる「オレオレ証明書」ですね。
上の方の回答の通りですが、意図的に手数料をケチって自前で済ませてしまうというのもありますし、サイト構築担当者がセキュリティに関して無知のケースが結構あるようです。証明書の仕組みをよく理解できていないまま、他のサイトの説明をパクっておしまい(警告が出ても気にせず安全なので進んでください)というずさんな例が多いようです。
「オレオレ証明書」という言葉の育ての親(?)でもある高木さんがこの辺のウォッチングや啓蒙活動を行っています。
例:高木浩光@自宅の日記 - こんな銀行は嫌だ, オレオレ証明書の区分 第三版
過去の日記でもサイト管理者に電凸したネタなどもあり、サイト管理者の無知ぶりが生々しく読み取れますので、興味があればぜひ。
ご回答ありがとうございます。
ご紹介してくださった高木さんのサイトもとても参考になりました!
オレオレ証明書は意外に多かったんですねー(焦)
ご返信ありがとうございます!! とても勉強になりました!!
ユーザさんの中には認証局がどこかまで気にしないかもしれないですね…
日本に多いのには驚きですが、手数料の出し渋りとは… うーむw