高木浩光＠自宅の日記

2005年03月27日

■ PKIよくある勘違い(8)「自分専用なのに第三者から証明書を買えというのはおかしい」

PKIというよりSSLにある勘違いであるが、オレオレ証明書を使うべきでないという考え方が広まってくると、今度は、自分専用のサーバなのに、「オレオレ証明書じゃだめなのか？」と考えてしまい、「自分専用なのに何万円も払って証明書を買わないといけないなんてのは、どう考えてもおかしい！何か間違ってる！」といった思考に至ることがありそうだ。

自分専用であればオレオレのサーバ証明書で運用してかまわない。ただし、ブラウザの警告を無視して「はい」を押してはいけない。「能動的な盗聴」の被害に遭うおそれがあるという点で、SSLの機能は完全には働かないからだ。

こういうとき、Webブラウザが Firefoxであれば、次の手順で設定することで、自作のサーバ証明書で正しく安全に運用できる。

まず、サーバに自作の証明書と秘密鍵をセットする。そして、その証明書を手作業で（ネットを使わずに）運んできて、ブラウザにインポートする。インポートの手順は以下の通り。

メニューから「オプション」を開き、「詳細」を選択して、「証明書マネージャ」ボタンを押す（図1）。

図1: 証明書マネージャ起動ボタン

証明書マネージャで、「サイト証明書」タブを選び、「インポート」ボタンを押す。

図2: サイト証明書ストアにインポート

ファイル選択ダイアログが現れるので、手作業で運んできた証明書ファイルを選んで開く。図3のようにインポートされる。

図3: インポートした直後の様子

インポートした項目を選択して「設定」ボタンを押すと、「サイト証明書に対する信頼性の設定」という設定ウィンドウが現れる。

図4: 「サイト証明書に対する信頼性の設定」画面

ここのデフォルトは「この証明書が本物であると信頼しない」になっているので、「信頼する」に変更して「OK」を押す（図4）。

これで、サーバにアクセスすると警告なしに正常に SSL接続される。

ここで重要なのは、インポート先が「認証局証明書」ではないということだ。自分で作ったオレオレ認証局証明書を「認証局証明書」ストアにインポートする方法でも、同様に正常なSSL接続を実現できるが、その設定をすると、万が一秘密鍵が流出したときに、あらゆるサイト（銀行とかネットショップとか）の偽証明書に騙される（もしくは能動的盗聴をされる）リスクが生じてしまう。それに対し、オレオレサーバ証明書を「サイト証明書」ストアに登録するこの方法であれば、万が一秘密鍵が流出しても、自分用のサーバへのアクセスにリスクが生じるだけで済む。

この方法が妥当なのは、自分ひとりで使うからだ。サーバに証明書を設定するのが自分であるなら、その証明書を運んでブラウザにインポートする作業の手間は問題にならない。

複数人で使う場合はどうか。全員に証明書を手渡しできるのであれば、この方法でもよいかもしれない。しかし、大規模な人数となってくると、手渡しにかかるコストが高くなり、商用認証局からサーバ証明書を購入して運用した方が安くなるだろう。

なお、インポートする前にサーバにアクセスしたときに出るブラウザの警告で、図5のように、「今後この証明書を受け入れる」を選ぶことで、上に書いた手順（サイト証明書ストアへインポートし、「この証明書が本物であると信頼する」を設定）と同じ設定になる。

図5: ネットワーク経由でインポートしようとしている様子

しかし、これは、信頼できない通信路のネットワーク経由で証明書を運んでいるのだから、もしこの時点で中間者攻撃を受けているのなら、将来にわたって攻撃され続けることになるので、避けるべきである。

そうした事態が発生している確率は小さいだろうという判断から、手抜きをして、図5の方法でインポートすることもアリかもしれないが、そのリスクを理解した上で行わなければならない。サーバをセットアップするような技術者が自分が使うためだけに行うのであればそれもよいだろうが、一般のユーザ向けに使わせるのであれば、図5の方法は避けるべきだ。意味も分からず何でも「今後受け入れる」を押すようになってしまうに違いない。それを避けるために、証明書を手渡しして、手作業でインポートし、設定させるのがよい。

ちなみに、ここまでの話はブラウザが Firefoxの場合であるが、Internet Explorerの場合はどうかというと、なんと、この機能が存在しないのだ。

図6: Internet Explorerの証明書マネージャ

図6のように、IEの証明書マネージャには、サイトを個別に受け入れるための証明書ストアが存在しない。

このことが、誤ったPKIの使い方を蔓延させるきっかけになったとも言える。IEでのアクセスを前提とすると、自作のサーバ証明書で運用しようとすれば、オレオレ認証局の証明書をルート認証局としてブラウザにインポートせざるを得なくなる。

どうしても、IEを前提としてオレオレ証明書で運用したいなら、次の方法がある。自作のサーバ証明書に自作の認証局で署名したら、署名した直後に認証局の秘密鍵を消去してしまうことだ。こうすることで、秘密鍵が流出したときのリスクが、上のFirefoxでサイト証明書にインポートするときと同じになる。

ただし、ルート証明書をインポートするというハイリスクな行為が普通のものだと麻痺させてしまうおそれがあるので、自分専用でない限り避けるべきだろう。

というわけで、自作証明書で運用したいなら、「Internet Explorerでのご利用はサポートしていません」とお断りしよう。

本日のTrackBacks(全2件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20050327]

本日のリンク元

スラド ×6 : 2, 1, 1, 1, 1 (2023-04-27)
スラッシュドット ×7 : 5, 1, 1 (2022-12-27)
スラドarticle [07/11/28/0244208] ×5 (2015-11-28)
https://www.google.co.jp ×21 (2015-09-03)
スラドcomments [381803] ×14 (2015-06-13)
スラッシュドットcomments [358699] ×95 : 16, 12, 9, 9, 8, 8, 5, 5, 3, 3, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2015-01-28)
http://april.fool.jp/blogs ×387 (2013-11-16)
スラッシュドットcomments [381803] ×339 : 71, 61, 18, 16, 9, 7, 7, 7, 7, 7, 6, 6, 5, 4, 4, 4, 4, 3, 3, 3, 3, 3, 3, 3, 2, 2, 2, 2, 2, 2, 2, 2, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2013-10-10)
スラッシュドットarticle [06/08/05/238255] ×276 : 100, 96, 56, 4, 2, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2013-09-07)
はてなブックマークコメント ×28 : 13, 6, 3, 2, 1, 1, 1, 1 (2013-02-19)
スラッシュドットcomments [327431] ×215 : 55, 26, 23, 16, 16, 14, 12, 6, 6, 5, 4, 3, 3, 3, 3, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2013-01-08)
スラッシュドットarticle [07/11/28/0244208] ×398 : 194, 115, 61, 15, 6, 1, 1, 1, 1, 1, 1, 1 (2012-11-28)
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q149... ×240 (2012-11-05)
はてなダイアリー [satoshis 20050331] ×12 : 6, 6 (2012-10-18)
ogawa.s18.xrea.com tdiary ×32 : 20, 9, 2, 1 (2012-09-09)
wslash.com ×33 : 28, 4, 1 (2011-07-05)
スラッシュドットarticle [07/04/17/0856216] ×20 : 13, 5, 2 (2010-12-21)
blog.goo.ne.jp [minimal_room] ×12 : 11, 1 (2010-06-24)
http://takabsd.jp/d/?date=20101229 ×10 (2009-03-25)
http://www.gudaguda.info/mt/freebsd/2006/11/ ×8 (2008-09-17)
ココログ [souseiji cocolog] ×42 : 38, 3, 1 (2008-07-28)
http://blawat2015.no-ip.com/~mieki256/diary/200509.html ×4 (2007-11-13)
@IT BBS [topic:20844,forum:0] ×433 : 240, 190, 2, 1 (2007-11-02)
はてなダイアリー [flageo] ×3 : 2, 1 (2007-09-20)
http://www.gudaguda.info/mt/freebsd/ ×21 (2007-09-07)
はてなダイアリー [flageo 20070220] ×80 : 72, 8 (2007-08-30)
http://www.gudaguda.info/mt/2006/11/apache2ssl.html ×444 (2007-08-18)
http://naname.jp/index.php?Apache ×57 (2007-06-30)
http://bakera.jp/ebi/topic/2215 ×253 (2007-05-25)
http://bakera.jp/ebi/2005/3 ×8 (2007-05-24)
http://www.aineas.net/pukiwiki/index.php?OpenLDAP活用術 - はじめに ×17 (2007-05-22)
http://www.gudaguda.info/2006/11/apache2ssl.html ×22 (2007-02-15)
www2.coins.tsukuba.ac.jp/~i031203 tdiary ×5 : 4, 1 (2007-02-10)
スラッシュドットcomments [268634] ×10 : 2, 2, 1, 1, 1, 1, 1, 1 (2006-12-27)
http://materia.jp/blog/20050328.html ×4 (2006-12-21)
http://muumoo.jp/news/2006/09/28/2gpkiwindowsupdate.html ×5 (2006-09-29)
www.oiwa.jp/~yutaka tdiary ×36 : 11, 8, 6, 4, 2, 1, 1, 1, 1, 1 (2006-09-25)
http://yoichi.geiin.org/d/?date=200503 ×4 (2006-08-02)
はてなダイアリー [hirose31 20050328] ×5 : 4, 1 (2006-05-04)
mixi bbs [743646] ×5 (2006-02-20)
はてなキーワード [オレオレ証明書] ×13 : 12, 1 (2006-02-03)
mixi bbs [422878] ×37 : 32, 4, 1 (2006-01-28)
http://www.oresign.jp/wiki/フロントページ ×6 (2005-12-23)
はてなダイアリー [hirose31] ×15 : 6, 4, 2, 1, 1, 1 (2005-12-08)
ココログ [stressfulangel cocolog] ×19 : 8, 6, 3, 2 (2005-11-03)
oku.edu.mie-u.ac.jp/~okumura/pukiwiki/ ×162 : 92, 65, 3, 1, 1 (2005-10-08)
@IT BBS [topic:24379,forum:4] ×79 : 33, 32, 13, 1 (2005-09-27)
スラッシュドットarticle [05/07/31/1313206] ×3 : 1, 1, 1 (2005-09-13)
はてなダイアリー [satoshis] ×16 : 11, 4, 1 (2005-09-09)
@IT BBS [topic:23630,forum:0] ×348 : 165, 148, 15, 9, 5, 2, 1, 1, 1, 1 (2005-08-17)
http://www.oresign.jp/moin.cgi/ ×4 (2005-08-02)
bakera.jp/hatomaru.aspx/ebi/ [2005/3] ×5 (2005-05-09)
bakera.jp/hatomaru.aspx/ebi/ [topic/2215] ×39 (2005-04-21)
http://takabsd.jp/w/tech/?security ×18 (2005-04-20)
altba.com/bakera/hatomaru ×70 : 60, 5, 2, 2, 1 (2005-04-17)
http://mixi.jp/view_bbs.pl?id=743646 ×17 (2005-03-31)
http://www.oresign.jp/wiki ×47 (2005-03-31)
http://www.oresign.jp/wiki/ ×33 (2005-03-31)
http://mixi.jp/view_bbs.pl?id=422878 ×12 (2005-03-31)
http://club.h14m.org/kenji/diary/?200503c ×8 (2005-03-30)
http://club.h14m.org/kenji/diary/ ×43 (2005-03-30)
http://callisto.comlab.soft.iwate-pu.ac.jp/~g031y177/uhi/ ×13 (2005-03-29)
セキュリティホールmemo ×2876 : 2384, 440, 44, 6, 1, 1 (2005-03-29)
http://yoichi.geiin.org/d/ ×13 (2005-03-28)
http://www.misao.gr.jp/~koshian/ ×14 (2005-03-28)
http://takabsd.jp/d/?date=20050328 ×7 (2005-03-28)
はてなダイアリー [quintia 20050328] ×8 (2005-03-28)
http://133.83.35.54/~kjm/security/memo/ ×4 (2005-03-28)

検索

オレオレ認証局 ×136 / 証明書ストア ×122 / サイト証明書 ×111 / オレオレ証明書 ×77 / PKI ×68 / PKI 証明書 ×43 / PKIよくある勘違い ×39 / サーバ証明書 ×29 / キーワード不明 ×29 / オレオレ認証 ×27 / IE 証明書インポート ×25 / サーバ証明書自作 ×25 / PKIよくある勘違い -hiromitsu.jp ×24 / 高木証明書 ×23 / pki ×20 / 証明書インポート ×19 / firefox 証明書 ×17 / オレオレ証明書 -hiromitsu.jp ×16 / SSL 証明書自作 ×16 / サーバー証明書 ×16 / 証明書ストア ×14 / IE 証明書ストア ×14 / 証明書高木 ×13 / サーバー証明書自作 ×11 / SSL証明書自作 ×11 / サイト証明書 ×11 / ルート証明書+高木 ×11 / firefox 証明書インポート ×10 / オレオレ証明書高木 ×10 / 認証局自作 ×10 / 証明書マネージャ ×9 / Firefox 証明書インポート ×9 / 中間者攻撃 ×9 / 証明書 PKI ×9 / PKI証明書 ×9 / pki 証明書 ×9 / IE 証明書 ×8 / -hiromitsu.jp オレオレ証明書 ×8 / gpki firefox ×8 / "サイト証明書" ×8 / オレオレ証明書インポート ×8 / firefox 証明書ストア ×8 / 自分専用日記 ×8 / 第三者 ×7 / PKI 高木 ×7 / SSL 中間者攻撃 ×7 / サーバ証明書インポート ×7 / 認証局証明書 ×7 / firefox pki ×7 / ssl証明書自作 ×7 / オレオレサーバ ×7 / PKI 設定 ×7 / 高木 PKI ×7 / オレオレサーバ証明書 ×6 / 第三者証明 ×6 / SSL 証明書インポート ×6 / Firefox 証明書ストア ×6 / サーバー証明書 ×6 / PKI サーバ証明書 ×6 / 証明書自作 ×6 / ssl 証明書自作 ×6 / オレオレ認証局 ×6 / 自作認証局 ×5 / オレオレ証明書 ×5 / -hiromitsu.jp PKI ×5 / Firefox 証明書 ×5 / -hiromitsu.jp 高木浩光 pki よくある勘違い ×5 / オレオレ証明書リスク ×5 / Firefox 認証局 ×5 / 証明書ストア IE ×5 / 証明書ストア秘密鍵 ×5 / firefox サイト証明書 ×5 / 自作証明書 ×5 / サイト証明書インポート ×5 / firefox gpki ×5 / ルート証明書 firefox ×5 / 勘違い ×5 / 自作証明書 SSL ×4 / SSL オレオレ認証 ×4 / firefox ルート証明書 ×4 / IE 証明書設定 ×4 / PKI サーバー設定 ×4 / -hiromitsu.jp PKIよくある勘違い ×4 / 自作証明書 ×4 / 電子証明書自作 ×4 / GPKI Firefox ×4 / 高木浩光 PKIよくある勘違い -hiromitsu.jp ×4 / firefox PKI ×4 / ssl-explorer ×4 / SSL 第三者 ×4 / ルート証明書自作 ×4 / ssl オレオレ認証 ×4 / 認証局秘密鍵流出 ×4 / SSL 証明書 IE ×4 / 自作ルート証明書 ×4 / オレオレ証明書盗聴 ×4 / ssl 証明書インポート ×4 / よくある勘違い ×4 / SSL 証明書自分 ×4 / SSL 自作証明書 ×4 / SSL -hiromitsu.jp ×4 / PKI ブラウザ ×3 / IT証明書 ×3 / PKI よくある勘違い ×3 / 証明書図 ×3 / サーバ証明書自分 ×3 / オレオレ証明書使うべき ×3 / IE SSL 証明書 ×3 / サーバ証明書ルート証明書 ×3 / ルート証明書インポート ×3 / 今後この証明書を受け入れる ×3 / ssl -hiromitsu.jp ×3 / 証明書中間者攻撃 ×3 / PKI、証明書 ×3 / PKI 中間者攻撃 ×3 / FireFox ２年証明書 ×3 / 証明書サイト ×3 / IE 証明書ストア ×3 / オレオレ証明書 firefox ×3 / 高木浩光証明信頼 ×3 / ルート証明書 firefox -hiromitsu.jp ×3 / firefox 認証局証明書 ×3 / ＰＫＩ ×3 / 認証局証明書サイト証明書 ×3 / SSL PKI ×3 / SSL ×3 / ie 証明書インポート ×3 / 高木浩光 PKI ×3 / ruby pki ×3 / SSL サイト証明書 ×3 / "オレオレ証明書" ×3 / 証明書インポートできない ×3 / 中間者攻撃 PKI ×3 / IEの設定 @IT ×3 / 証明書ブラウザ警告 ×3 / 自作サーバ証明書 ×3 / 証明書インポート IE ×3 / 証明書 IE インポート ×3 / 自分専用日記 ×3 / 中間者攻撃 SSL ×3 / 証明書マネージャー ×3 / PKI 図 ×3 / IE サイト証明 ×3 / 証明書ブラウザインポート ×3 / SSL証明書自分 ×2 / SSL 自分で ×2 / サーバ証明書運用 ×2 / 証明書インポート 2003 ×2 / 秘密鍵インポート ×2 / 秘密鍵証明書ストア ×2 / オレオレ証明書 IE インポート ×2 / 認証局証明書 firefox ×2 / ie ssl 証明書インポート ×2 / SSL 証明書自分で ×2 / オレオレ証明書 SSL ×2 / 第三者証明 ×2 / 自証明書 ×2 / -hiromitsu.jp オレオレ ×2 / Firefox 証明書 ://takagi-hiromitsu.jp/diary/ ×2 / ie 8 おかしい ×2 / 証明書ストア FireFox ×2 / GPKI firefox ×2 / PKI 自作 ×2 / firefox ルート証明書インポート ×2 / ブラウザ証明書 ×2 / -hiromitsu.jp オレオレ証明書安全 ×2 / 商用認証局 ×2 / firefox ssl 証明書 ×2 / firefox -hiromitsu.jp ×2 / ssl 設定自分署名認証局 ×2 / おかしい ×2 / オレオレ証明書ブラウザインポート ×2 / オレオレ認証局インポート ×2 / オレオレ証明書自分用 ×2 / 証明書 IE 設定 ×2 / firefox 証明書マネージャ ×2 / firefox ieの証明書 ×2 / firefox インポート ×2 / SSL オレオレ証明書 ×2 / -hiromitsu.jp/diary/ firefox サーバ証明書 ×2 / SSL証明書考え方 ×2 / 証明書信頼する ×2 / 認証局自分 ×2 / 自作証明書リスク ×2 / 証明書インポートできない ×2 / PKI 盗聴 ×2 / 証明書 firefox インポート ×2 / FireFox 証明書ストア ×2 / 自作の証明書 ×2 / 中間者攻撃証明書 ×2 / SSL 認証局自分 ×2 / SSL 鍵インポート ×2 / 証明書ストア Internet Explorer ×2 / IE ブラウザ SSL 証明書インポート ×2 / 自作サーバー証明書 ×2 / 証明書 IE ×2 / 中間者攻撃図 ×2 / CA証明書自作 ×2 / Internet Explorer の証明書マネージャ ×2 / 認証局インポート IE ×2 / SSL 自作証明書 ×2 / SSL 勘違い ×2 / 第三者証明 SSL ×2 / サイト証明書 -hiromitsu.jp ×2 / "オレオレ認証局" ×2 / firefox 証明書警告 ×2 / 証明書 ×2 / SSL 証明書第三者署名 ×2 / 高木浩光 pki ×2 / 商用認証局メール ×2 / 秘密鍵流出 ×2 / SSL 証明書図 ×2 / PKI 証明書高木 ×2 / サイト証明書意味 ×2 / 証明書選択 IE ×2 / pki 運用 ×2 / 高木浩光オレオレ証明書 ×2 / firefox 警告証明書ダイアログ ×2 / firefox GPKI ×2 / 第三者証明書 ×2 / internet explorer 証明書ストア ×2 / サーバー証明書インポート ×2 / PKIよくある勘違い(3) ×2 / からだ図 ×2 / サイト証明書｜インポート ×2 / ブラウザ証明書インポート ×2 / -hiromitsu.jp/diary/ ルート証明書 ×2 / IE 証明書選択 ×2 / 能動的攻撃中間者 ssl ×2 / firefox 証明書設定 ×2 / サーバ証明書 IE 警告 ×2 / 能動的な盗聴 ×2 / サーバ証明書ブラウザ ×2 / 証明書 -hiromitsu.jp ×2 / ://takagi-hiromitsu.jp/diary/ オレオレ ×2 / ルート証明書をインポート ×2 / pki 高木 ×2 / サーバ証明書自作 ×2 / サイトの証明書 ×2 / IE 証明書高木 ×2 / PHP SSL 証明書 ×2 / 認証局インポート ×2 / 高木浩光不正証明書 ×2 / firefox オレオレ証明書 ×2 / firefox 証明書信頼性インポート ×2 / オレオレ証明書被害 ×2 / 高木浩光証明書 ×2 / 認証局証明書 ×2 / 証明書 ie 6 ×2 / ルート証明書ブラウザストア firefox ×2 / オレオレ証明書手渡し ×2 / firefox 証明書マネージャー ×2 / 第三者ＰＫＩ署名 ×2 / 認証局第三者 ×2 / RFC 2511 - インターネットX.509証明書要求メッセージ・フォーマット ×2 / SSL-Explorer ×2 / 証明書ブラウザ ×2 / サイト証明書ルート証明書 ×2 / firefox サーバー証明書 ×2 / pki ruby ×2 / Firefox ルート証明書 ×2 / ウイルスバスター2006 インポート設定 ×2 / firefox 認証局 ×2 / PKI 第三者 ×2 / PKI サーバ ×2 / IE 証明書ファイル ×2 / 証明書マネージャ firefox ×2 / オレオレサーバ証明書インポート ×2 / ssl ルート証明サイト証明 ×2 / SSL 第三者証明 ×2 / サイト証明書 firefox ×2 / 証明書秘密鍵 ×2 / オレオレ証明書中間者攻撃 ×2 / FireFox 証明書インポート ×2 / PKI 使い方 ×2 / FireFox サイト証明書 ×2 / 自作SSL証明書 ×2 / 自作証明書手渡し ×2 / オレオレ証明書 site:takagi-hiromitsu.jp ×2 / PKI 運用 ×2 / -hiromitsu.jp 証明書 ×2 / ssl 証明書自分で ×2 / サーバ証明書 ×2 / 認証局 firefox ×2 / 自宅サーバアクセス自分 ×2 / サーバ証明書自分手順 ×2 / よくある勘違いユビキタス社会 ×2 / 認証局証明書設定 ×2 / 第三者認証局 ×2 / サイト証明書設定方法 ×2 / SSL 警告なし証明書 ×2 / -hiromitsu.jp サイト証明書 ×2

2005年03月27日

■ PKIよくある勘違い(8)「自分専用なのに第三者から証明書を買えというのはおかしい」

最近のタイトル