高木浩光＠自宅の日記

2005年03月27日

■ PKIよくある勘違い(8)「自分専用なのに第三者から証明書を買えというのはおかしい」

PKIというよりSSLにある勘違いであるが、オレオレ証明書を使うべきでないという考え方が広まってくると、今度は、自分専用のサーバなのに、「オレオレ証明書じゃだめなのか？」と考えてしまい、「自分専用なのに何万円も払って証明書を買わないといけないなんてのは、どう考えてもおかしい！何か間違ってる！」といった思考に至ることがありそうだ。

自分専用であればオレオレのサーバ証明書で運用してかまわない。ただし、ブラウザの警告を無視して「はい」を押してはいけない。「能動的な盗聴」の被害に遭うおそれがあるという点で、SSLの機能は完全には働かないからだ。

こういうとき、Webブラウザが Firefoxであれば、次の手順で設定することで、自作のサーバ証明書で正しく安全に運用できる。

まず、サーバに自作の証明書と秘密鍵をセットする。そして、その証明書を手作業で（ネットを使わずに）運んできて、ブラウザにインポートする。インポートの手順は以下の通り。

メニューから「オプション」を開き、「詳細」を選択して、「証明書マネージャ」ボタンを押す（図1）。

図1: 証明書マネージャ起動ボタン

証明書マネージャで、「サイト証明書」タブを選び、「インポート」ボタンを押す。

図2: サイト証明書ストアにインポート

ファイル選択ダイアログが現れるので、手作業で運んできた証明書ファイルを選んで開く。図3のようにインポートされる。

図3: インポートした直後の様子

インポートした項目を選択して「設定」ボタンを押すと、「サイト証明書に対する信頼性の設定」という設定ウィンドウが現れる。

図4: 「サイト証明書に対する信頼性の設定」画面

ここのデフォルトは「この証明書が本物であると信頼しない」になっているので、「信頼する」に変更して「OK」を押す（図4）。

これで、サーバにアクセスすると警告なしに正常に SSL接続される。

ここで重要なのは、インポート先が「認証局証明書」ではないということだ。自分で作ったオレオレ認証局証明書を「認証局証明書」ストアにインポートする方法でも、同様に正常なSSL接続を実現できるが、その設定をすると、万が一秘密鍵が流出したときに、あらゆるサイト（銀行とかネットショップとか）の偽証明書に騙される（もしくは能動的盗聴をされる）リスクが生じてしまう。それに対し、オレオレサーバ証明書を「サイト証明書」ストアに登録するこの方法であれば、万が一秘密鍵が流出しても、自分用のサーバへのアクセスにリスクが生じるだけで済む。

この方法が妥当なのは、自分ひとりで使うからだ。サーバに証明書を設定するのが自分であるなら、その証明書を運んでブラウザにインポートする作業の手間は問題にならない。

複数人で使う場合はどうか。全員に証明書を手渡しできるのであれば、この方法でもよいかもしれない。しかし、大規模な人数となってくると、手渡しにかかるコストが高くなり、商用認証局からサーバ証明書を購入して運用した方が安くなるだろう。

なお、インポートする前にサーバにアクセスしたときに出るブラウザの警告で、図5のように、「今後この証明書を受け入れる」を選ぶことで、上に書いた手順（サイト証明書ストアへインポートし、「この証明書が本物であると信頼する」を設定）と同じ設定になる。

図5: ネットワーク経由でインポートしようとしている様子

しかし、これは、信頼できない通信路のネットワーク経由で証明書を運んでいるのだから、もしこの時点で中間者攻撃を受けているのなら、将来にわたって攻撃され続けることになるので、避けるべきである。

そうした事態が発生している確率は小さいだろうという判断から、手抜きをして、図5の方法でインポートすることもアリかもしれないが、そのリスクを理解した上で行わなければならない。サーバをセットアップするような技術者が自分が使うためだけに行うのであればそれもよいだろうが、一般のユーザ向けに使わせるのであれば、図5の方法は避けるべきだ。意味も分からず何でも「今後受け入れる」を押すようになってしまうに違いない。それを避けるために、証明書を手渡しして、手作業でインポートし、設定させるのがよい。

ちなみに、ここまでの話はブラウザが Firefoxの場合であるが、Internet Explorerの場合はどうかというと、なんと、この機能が存在しないのだ。

図6: Internet Explorerの証明書マネージャ

図6のように、IEの証明書マネージャには、サイトを個別に受け入れるための証明書ストアが存在しない。

このことが、誤ったPKIの使い方を蔓延させるきっかけになったとも言える。IEでのアクセスを前提とすると、自作のサーバ証明書で運用しようとすれば、オレオレ認証局の証明書をルート認証局としてブラウザにインポートせざるを得なくなる。

どうしても、IEを前提としてオレオレ証明書で運用したいなら、次の方法がある。自作のサーバ証明書に自作の認証局で署名したら、署名した直後に認証局の秘密鍵を消去してしまうことだ。こうすることで、秘密鍵が流出したときのリスクが、上のFirefoxでサイト証明書にインポートするときと同じになる。

ただし、ルート証明書をインポートするというハイリスクな行為が普通のものだと麻痺させてしまうおそれがあるので、自分専用でない限り避けるべきだろう。

というわけで、自作証明書で運用したいなら、「Internet Explorerでのご利用はサポートしていません」とお断りしよう。

本日のTrackBacks(全2件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20050327]

本日のリンク元

スラド ×6 : 2, 1, 1, 1, 1 (2023-04-27)
スラッシュドット ×7 : 5, 1, 1 (2022-12-27)
スラドarticle [07/11/28/0244208] ×5 (2015-11-28)
https://www.google.co.jp ×21 (2015-09-03)
スラドcomments [381803] ×14 (2015-06-13)
スラッシュドットcomments [358699] ×95 : 16, 12, 9, 9, 8, 8, 5, 5, 3, 3, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2015-01-28)
http://april.fool.jp/blogs ×387 (2013-11-16)
スラッシュドットcomments [381803] ×339 : 71, 61, 18, 16, 9, 7, 7, 7, 7, 7, 6, 6, 5, 4, 4, 4, 4, 3, 3, 3, 3, 3, 3, 3, 2, 2, 2, 2, 2, 2, 2, 2, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2013-10-10)
スラッシュドットarticle [06/08/05/238255] ×276 : 100, 96, 56, 4, 2, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2013-09-07)
はてなブックマークコメント ×28 : 13, 6, 3, 2, 1, 1, 1, 1 (2013-02-19)
スラッシュドットcomments [327431] ×215 : 55, 26, 23, 16, 16, 14, 12, 6, 6, 5, 4, 3, 3, 3, 3, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2013-01-08)
スラッシュドットarticle [07/11/28/0244208] ×398 : 194, 115, 61, 15, 6, 1, 1, 1, 1, 1, 1, 1 (2012-11-28)
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q149... ×240 (2012-11-05)
はてなダイアリー [satoshis 20050331] ×12 : 6, 6 (2012-10-18)
ogawa.s18.xrea.com tdiary ×32 : 20, 9, 2, 1 (2012-09-09)
wslash.com ×33 : 28, 4, 1 (2011-07-05)
スラッシュドットarticle [07/04/17/0856216] ×20 : 13, 5, 2 (2010-12-21)
blog.goo.ne.jp [minimal_room] ×12 : 11, 1 (2010-06-24)
http://takabsd.jp/d/?date=20101229 ×10 (2009-03-25)
http://www.gudaguda.info/mt/freebsd/2006/11/ ×8 (2008-09-17)
ココログ [souseiji cocolog] ×42 : 38, 3, 1 (2008-07-28)
http://blawat2015.no-ip.com/~mieki256/diary/200509.html ×4 (2007-11-13)
@IT BBS [topic:20844,forum:0] ×433 : 240, 190, 2, 1 (2007-11-02)
はてなダイアリー [flageo] ×3 : 2, 1 (2007-09-20)
http://www.gudaguda.info/mt/freebsd/ ×21 (2007-09-07)
はてなダイアリー [flageo 20070220] ×80 : 72, 8 (2007-08-30)
http://www.gudaguda.info/mt/2006/11/apache2ssl.html ×444 (2007-08-18)
http://naname.jp/index.php?Apache ×57 (2007-06-30)
http://bakera.jp/ebi/topic/2215 ×253 (2007-05-25)
http://bakera.jp/ebi/2005/3 ×8 (2007-05-24)
http://www.aineas.net/pukiwiki/index.php?OpenLDAP活用術 - はじめに ×17 (2007-05-22)
http://www.gudaguda.info/2006/11/apache2ssl.html ×22 (2007-02-15)
www2.coins.tsukuba.ac.jp/~i031203 tdiary ×5 : 4, 1 (2007-02-10)
スラッシュドットcomments [268634] ×10 : 2, 2, 1, 1, 1, 1, 1, 1 (2006-12-27)
http://materia.jp/blog/20050328.html ×4 (2006-12-21)
http://muumoo.jp/news/2006/09/28/2gpkiwindowsupdate.html ×5 (2006-09-29)
www.oiwa.jp/~yutaka tdiary ×36 : 11, 8, 6, 4, 2, 1, 1, 1, 1, 1 (2006-09-25)
http://yoichi.geiin.org/d/?date=200503 ×4 (2006-08-02)
はてなダイアリー [hirose31 20050328] ×5 : 4, 1 (2006-05-04)
mixi bbs [743646] ×5 (2006-02-20)
はてなキーワード [オレオレ証明書] ×13 : 12, 1 (2006-02-03)
mixi bbs [422878] ×37 : 32, 4, 1 (2006-01-28)
http://www.oresign.jp/wiki/フロントページ ×6 (2005-12-23)
はてなダイアリー [hirose31] ×15 : 6, 4, 2, 1, 1, 1 (2005-12-08)
ココログ [stressfulangel cocolog] ×19 : 8, 6, 3, 2 (2005-11-03)
oku.edu.mie-u.ac.jp/~okumura/pukiwiki/ ×162 : 92, 65, 3, 1, 1 (2005-10-08)
@IT BBS [topic:24379,forum:4] ×79 : 33, 32, 13, 1 (2005-09-27)
スラッシュドットarticle [05/07/31/1313206] ×3 : 1, 1, 1 (2005-09-13)
はてなダイアリー [satoshis] ×16 : 11, 4, 1 (2005-09-09)
@IT BBS [topic:23630,forum:0] ×348 : 165, 148, 15, 9, 5, 2, 1, 1, 1, 1 (2005-08-17)
http://www.oresign.jp/moin.cgi/ ×4 (2005-08-02)
bakera.jp/hatomaru.aspx/ebi/ [2005/3] ×5 (2005-05-09)
bakera.jp/hatomaru.aspx/ebi/ [topic/2215] ×39 (2005-04-21)
http://takabsd.jp/w/tech/?security ×18 (2005-04-20)
altba.com/bakera/hatomaru ×70 : 60, 5, 2, 2, 1 (2005-04-17)
http://mixi.jp/view_bbs.pl?id=743646 ×17 (2005-03-31)
http://www.oresign.jp/wiki ×47 (2005-03-31)
http://www.oresign.jp/wiki/ ×33 (2005-03-31)
http://mixi.jp/view_bbs.pl?id=422878 ×12 (2005-03-31)
http://club.h14m.org/kenji/diary/?200503c ×8 (2005-03-30)
http://club.h14m.org/kenji/diary/ ×43 (2005-03-30)
http://callisto.comlab.soft.iwate-pu.ac.jp/~g031y177/uhi/ ×13 (2005-03-29)
セキュリティホールmemo ×2876 : 2384, 440, 44, 6, 1, 1 (2005-03-29)
http://yoichi.geiin.org/d/ ×13 (2005-03-28)
http://www.misao.gr.jp/~koshian/ ×14 (2005-03-28)
http://takabsd.jp/d/?date=20050328 ×7 (2005-03-28)
はてなダイアリー [quintia 20050328] ×8 (2005-03-28)
http://133.83.35.54/~kjm/security/memo/ ×4 (2005-03-28)

検索

オレオレ認証局 ×136 / 証明書ストア ×122 / サイト証明書 ×111 / オレオレ証明書 ×77 / PKI ×68 / PKI 証明書 ×43 / PKIよくある勘違い ×39 / キーワード不明 ×29 / サーバ証明書 ×29 / オレオレ認証 ×27 / IE 証明書インポート ×25 / サーバ証明書自作 ×25 / PKIよくある勘違い -hiromitsu.jp ×24 / 高木証明書 ×23 / pki ×20 / 証明書インポート ×19 / firefox 証明書 ×17 / サーバー証明書 ×16 / オレオレ証明書 -hiromitsu.jp ×16 / SSL 証明書自作 ×16 / 証明書ストア ×14 / IE 証明書ストア ×14 / 証明書高木 ×13 / SSL証明書自作 ×11 / サーバー証明書自作 ×11 / ルート証明書+高木 ×11 / サイト証明書 ×11 / オレオレ証明書高木 ×10 / 認証局自作 ×10 / firefox 証明書インポート ×10 / 証明書 PKI ×9 / Firefox 証明書インポート ×9 / pki 証明書 ×9 / PKI証明書 ×9 / 証明書マネージャ ×9 / 中間者攻撃 ×9 / 自分専用日記 ×8 / gpki firefox ×8 / "サイト証明書" ×8 / -hiromitsu.jp オレオレ証明書 ×8 / IE 証明書 ×8 / オレオレ証明書インポート ×8 / firefox 証明書ストア ×8 / firefox pki ×7 / PKI 高木 ×7 / 認証局証明書 ×7 / 第三者 ×7 / SSL 中間者攻撃 ×7 / サーバ証明書インポート ×7 / ssl証明書自作 ×7 / PKI 設定 ×7 / オレオレサーバ ×7 / 高木 PKI ×7 / PKI サーバ証明書 ×6 / オレオレ認証局 ×6 / オレオレサーバ証明書 ×6 / SSL 証明書インポート ×6 / 第三者証明 ×6 / Firefox 証明書ストア ×6 / サーバー証明書 ×6 / ssl 証明書自作 ×6 / 証明書自作 ×6 / 証明書ストア IE ×5 / 自作認証局 ×5 / オレオレ証明書 ×5 / firefox gpki ×5 / 勘違い ×5 / Firefox 証明書 ×5 / firefox サイト証明書 ×5 / サイト証明書インポート ×5 / ルート証明書 firefox ×5 / オレオレ証明書リスク ×5 / -hiromitsu.jp 高木浩光 pki よくある勘違い ×5 / 証明書ストア秘密鍵 ×5 / Firefox 認証局 ×5 / 自作証明書 ×5 / -hiromitsu.jp PKI ×5 / ルート証明書自作 ×4 / SSL 証明書 IE ×4 / GPKI Firefox ×4 / 高木浩光 PKIよくある勘違い -hiromitsu.jp ×4 / SSL -hiromitsu.jp ×4 / オレオレ証明書盗聴 ×4 / PKI サーバー設定 ×4 / SSL 自作証明書 ×4 / 自作ルート証明書 ×4 / 自作証明書 ×4 / SSL 証明書自分 ×4 / -hiromitsu.jp PKIよくある勘違い ×4 / 自作証明書 SSL ×4 / SSL 第三者 ×4 / 認証局秘密鍵流出 ×4 / firefox PKI ×4 / 電子証明書自作 ×4 / ssl 証明書インポート ×4 / SSL オレオレ認証 ×4 / ssl オレオレ認証 ×4 / IE 証明書設定 ×4 / firefox ルート証明書 ×4 / よくある勘違い ×4 / ssl-explorer ×4 / 証明書インポートできない ×3 / ruby pki ×3 / 中間者攻撃 PKI ×3 / 認証局証明書サイト証明書 ×3 / 証明書ブラウザ警告 ×3 / サーバ証明書ルート証明書 ×3 / ＰＫＩ ×3 / 自作サーバ証明書 ×3 / 証明書サイト ×3 / 中間者攻撃 SSL ×3 / PKI 中間者攻撃 ×3 / オレオレ証明書 firefox ×3 / 証明書マネージャー ×3 / FireFox ２年証明書 ×3 / 証明書中間者攻撃 ×3 / ssl -hiromitsu.jp ×3 / PKI ブラウザ ×3 / SSL ×3 / 高木浩光 PKI ×3 / PKI よくある勘違い ×3 / firefox 認証局証明書 ×3 / 今後この証明書を受け入れる ×3 / 証明書図 ×3 / PKI、証明書 ×3 / PKI 図 ×3 / 証明書 IE インポート ×3 / 証明書ブラウザインポート ×3 / IT証明書 ×3 / ルート証明書インポート ×3 / 高木浩光証明信頼 ×3 / ie 証明書インポート ×3 / IE サイト証明 ×3 / IE SSL 証明書 ×3 / オレオレ証明書使うべき ×3 / IEの設定 @IT ×3 / IE 証明書ストア ×3 / "オレオレ証明書" ×3 / 自分専用日記 ×3 / 証明書インポート IE ×3 / SSL サイト証明書 ×3 / サーバ証明書自分 ×3 / ルート証明書 firefox -hiromitsu.jp ×3 / SSL PKI ×3 / オレオレ証明書被害 ×2 / サーバ証明書 IE 警告 ×2 / よくある勘違いユビキタス社会 ×2 / SSL 証明書自分で ×2 / オレオレサーバ証明書インポート ×2 / IE ブラウザ SSL 証明書インポート ×2 / SSL 認証局自分 ×2 / オレオレ証明書自分用 ×2 / PKI 第三者 ×2 / 認証局証明書 ×2 / firefox GPKI ×2 / -hiromitsu.jp オレオレ証明書安全 ×2 / オレオレ認証局インポート ×2 / 証明書 ×2 / 自作SSL証明書 ×2 / 高木浩光オレオレ証明書 ×2 / 自宅サーバアクセス自分 ×2 / 第三者認証局 ×2 / firefox 証明書警告 ×2 / 高木浩光不正証明書 ×2 / からだ図 ×2 / firefox 証明書マネージャ ×2 / firefox 認証局 ×2 / SSL 鍵インポート ×2 / SSL オレオレ証明書 ×2 / -hiromitsu.jp オレオレ ×2 / サイト証明書意味 ×2 / 高木浩光 pki ×2 / PHP SSL 証明書 ×2 / 証明書 ie 6 ×2 / SSL 自作証明書 ×2 / 自証明書 ×2 / 第三者証明書 ×2 / IE 証明書高木 ×2 / ルート証明書ブラウザストア firefox ×2 / 秘密鍵流出 ×2 / ssl 設定自分署名認証局 ×2 / FireFox 証明書インポート ×2 / 証明書ストア FireFox ×2 / おかしい ×2 / SSL 警告なし証明書 ×2 / 証明書選択 IE ×2 / サーバ証明書 ×2 / CA証明書自作 ×2 / 自作証明書手渡し ×2 / 認証局自分 ×2 / 自作証明書リスク ×2 / サイト証明書 -hiromitsu.jp ×2 / 証明書 firefox インポート ×2 / ://takagi-hiromitsu.jp/diary/ オレオレ ×2 / オレオレ証明書 SSL ×2 / 能動的攻撃中間者 ssl ×2 / 認証局インポート ×2 / 自作サーバー証明書 ×2 / サーバ証明書運用 ×2 / IE 証明書選択 ×2 / サイト証明書｜インポート ×2 / SSL 証明書図 ×2 / 証明書 IE ×2 / firefox 証明書マネージャー ×2 / pki ruby ×2 / SSL-Explorer ×2 / ie ssl 証明書インポート ×2 / PKI サーバ ×2 / firefox ssl 証明書 ×2 / 高木浩光証明書 ×2 / 認証局証明書 firefox ×2 / 認証局 firefox ×2 / PKI 運用 ×2 / 第三者証明 ×2 / firefox 警告証明書ダイアログ ×2 / 第三者証明 SSL ×2 / PKI 自作 ×2 / 商用認証局メール ×2 / サイトの証明書 ×2 / オレオレ証明書ブラウザインポート ×2 / PKI 使い方 ×2 / firefox 証明書信頼性インポート ×2 / FireFox サイト証明書 ×2 / FireFox 証明書ストア ×2 / オレオレ証明書中間者攻撃 ×2 / ブラウザ証明書 ×2 / SSL証明書自分 ×2 / RFC 2511 - インターネットX.509証明書要求メッセージ・フォーマット ×2 / 証明書マネージャ firefox ×2 / "オレオレ認証局" ×2 / 中間者攻撃証明書 ×2 / firefox サーバー証明書 ×2 / 認証局第三者 ×2 / 証明書秘密鍵 ×2 / firefox インポート ×2 / ssl 証明書自分で ×2 / firefox 証明書設定 ×2 / -hiromitsu.jp 証明書 ×2 / -hiromitsu.jp サイト証明書 ×2 / internet explorer 証明書ストア ×2 / 証明書信頼する ×2 / firefox ieの証明書 ×2 / 証明書ストア Internet Explorer ×2 / 能動的な盗聴 ×2 / SSL証明書考え方 ×2 / 証明書ブラウザ ×2 / サーバ証明書自作 ×2 / PKIよくある勘違い(3) ×2 / 認証局インポート IE ×2 / PKI 証明書高木 ×2 / Firefox 証明書 ://takagi-hiromitsu.jp/diary/ ×2 / firefox -hiromitsu.jp ×2 / サーバ証明書ブラウザ ×2 / ssl ルート証明サイト証明 ×2 / PKI 盗聴 ×2 / サーバー証明書インポート ×2 / GPKI firefox ×2 / SSL 第三者証明 ×2 / 秘密鍵インポート ×2 / サイト証明書ルート証明書 ×2 / 商用認証局 ×2 / pki 運用 ×2 / 自作の証明書 ×2 / -hiromitsu.jp/diary/ firefox サーバ証明書 ×2 / SSL 証明書第三者署名 ×2 / サイト証明書 firefox ×2 / pki 高木 ×2 / 証明書 -hiromitsu.jp ×2 / -hiromitsu.jp/diary/ ルート証明書 ×2 / firefox オレオレ証明書 ×2 / IE 証明書ファイル ×2 / 証明書インポートできない ×2 / ルート証明書をインポート ×2 / firefox ルート証明書インポート ×2 / Firefox ルート証明書 ×2 / Internet Explorer の証明書マネージャ ×2 / ウイルスバスター2006 インポート設定 ×2 / サイト証明書設定方法 ×2 / 証明書インポート 2003 ×2 / オレオレ証明書 site:takagi-hiromitsu.jp ×2 / オレオレ証明書手渡し ×2 / 秘密鍵証明書ストア ×2 / ブラウザ証明書インポート ×2 / ie 8 おかしい ×2 / 中間者攻撃図 ×2 / サーバ証明書自分手順 ×2 / オレオレ証明書 IE インポート ×2 / 認証局証明書設定 ×2 / 証明書 IE 設定 ×2 / 第三者ＰＫＩ署名 ×2 / SSL 自分で ×2 / SSL 勘違い ×2

2005年03月27日

■ PKIよくある勘違い(8)「自分専用なのに第三者から証明書を買えというのはおかしい」

最近のタイトル