SSLの使い方
■ このスレッドは過去ログ倉庫に格納されています
私は https://XXXXX/ 〜 としてSSLに入りパスワードなどを送りあとは特に機密に関係なければ 遅いので、 http://XXXXX/ 〜 で元に戻しています。こんなのでいいのですか? 受け取るほうはとくにSSLであることを考慮していません。 ブラウザに鍵マークが出ているからそれでいいのかなぁ〜と まあそんな感じでやってます。 ただ、戻すときにも、いいのかという確認画面がでるのでうっとうしいです。 ここはまだできたてのスレッドなのであろう。 しかしひとのあつまりそうなケハイはまるでない。 きみたちはおもわずさけんだ。 「マピロ マハマ ディロマト」 >>5 >「マピロ マハマ ディロマト」 てどういういみ? >>3 どうせSSLに入ったんだったらあえて戻す必要ないんじゃない? ていうか、SSLとhttp行ったり来たりのサイトはウザイし、かえって信用できなくなる。 あと、SSLに入っているのに、一部の画像なんかが「保護されていないよ」って警告出るサイトとかね。 なるほど、いまのシステムはログイン時のユーザーIDとパスワードだけ 必要であとはいらない仕様なので、解除してます。 何度も行ったり来たりにはなりません。 SSLだと遅くなると聞いたことがあるのでこのようになったのですが、 気にならない程度なんでしょうか?エンコードとか >>8 入るときに一瞬引っかかるようなタイムラグ感じる程度で、そのあとは気にならないよ。 むしろ、出たり入ったりすることによって遅くなったりすると思う。 httpsに入れたら出さないのが基本だと思う。 出すときはもう、よそのサイトに行くときとか、そんな感じ。 でも、好きにしたら? いえいえありがとうございます。検討してみる価値は十分あると思います。 ところで、受け取り側のプログラムは特にSSLかどうかは意識しなくて良い んですよね。 Topページもhttps:// にしちまえ。 Redirectして 職場からの私用アクセス用として、認証式CGI串を自宅鯖に設置。ついでにSSLも。 これで安心して仕事中ネットサーフ出来るなり。 たまにサイトオープン一週間ぐらい前に「ベリサインのSSLで…」とかほざいて くる客がいるがぶちのめしたくなる。。。 >>8 ログインした後のセッション維持には cookie 使ってるんでしょ? cookie が盗聴されないように SSL を継続するのがいいよ。 まあ、ポリシーしだいですがね。 受け取り側のプログラムがSSLを意識するとしたら、 クライアント認証で、クライアント証明書が送られてきたときに その内容を確認して、ユーザー権限に従ったWEBページを 作成するとかでしょう。 ベリサインなしのSSLってSSLの設定でベリサインに なにも設定しないことでしょうか? これってSSLの意味ないですよね。 それとSSLはサーバー側に設定するものと思っていますが、 クライアント認証とはどのように関連するのでしょうか? >>15 激しく板違いな質問だな。 なのでおしえない >>15 「べりサイン」は企業の名前です。 「ベリサインなしのSSL」という単語には、 何か名詞が省略されていますね。それを書いてみそ 推測ですが「ベリサイン」=「サーバ証明書」? OPENSSLの0.9.6eをINSTALL.W32に書かれているようにNMAKEしたのですが、ちゃ んと最後まで通りません。0.9.6dの時はできたのですが、0.9.6eではlinkで_OpenSSLDie は未解決です。とか出て先に進みません。どうしたら良いのでしょうか。 環境は OS:Windows98SE VisualC++ です。 すみません、自己解決ができた…んだと思います、多分…。 ms\ntdll.makの187行目を $(OBJ_D)\ssl_err.obj ↓ $(OBJ_D)\ssl_err.obj $(OBJ_D)\cryptlib.obj と変更したら通りました。これで良かったのが分からないのですが。 ああ、訂正です。上に書いたのは恐らく間違っています。無視してやって下さい。 ms\libeay32.defの1752行目に OpenSSLDie @3000 というのを追加するというのが恐らく正しいと思います。トラブルシューティング に書いてありました。序数ファイルが更新されていない場合があるとか。 使いますが、なにか? だからSSL使う処理を最小限にすべきなんです。 自分の掲示板にSSLを使うにはどうしたらいいんですか? i-modeの場合、1回SSL入ると毎回ページを移動するたびに 「SSL認証中」と出てくるので結構ウザい。。重いし。 Nだけ? とりあえず用済みになったら戻してまつ。 NetsecurityはTopからhttps使うのな。 Apache+mod_SSL+openssl環境下で SSLProtocolVersion2でクライアント認証(=RequestCertificate有) させるにはどうすればいいんでしょうか? 例(思い切りハショリ) --- SSLProtocol Ver2 SSLCipherSuite RC4-MD5 SSLCertificateFile 任意 SSLVerifyClient optional(or Require) #SSLVerifyDepth 10 --- みたいな感じですが… 28ですが、何か? ちなみに、この設定(思いっきりハショッテますが…)で通信させようとすると サーバに怒られます。古いバージョンでは通った感じがするのですが、気の せいでしょうか? ところで、Version2ってチェーン設定できませんよね? あ、仕様読めって・・・(泣) ネスケやオペラでフォーム送信時に、SSLでないと 「第三者によって簡単に読み取られる可能性があります」 とデフォルトで表示するの皆はどう思う? 俺はこのメッセージのためにSSLを導入せざるをえなくなって すごく腹がたってるんだが・・・VeriSignたけーし。 そのくせ付属のメールアプリでは何の表示もしないんだよな。 そんなに暗号化にこだわるなら、メール送信時に 「このメールは暗号化されていないため 第三者によって簡単に読み取られる可能性があります」 と表示するのがスジってもんだろが! >>30 別にどうも思わん。 次回から表示しないにしたからもう出てこないし。 >>30 君みたいな人は基本的にインターネット使わないほうがいいですよ。 POP3だったらメールアカウントのパスワードも平文で流れるよ。 >>24 でも既出だけど、 ケータイのSSLってエラく重くない?特にJぽん。 無料でサーバー証明書ゲットできることは、永遠に無理なのか? 無料ではないもののセコムの証明書はベリの半額だが・・・ それでも¥65000だ。 なんだか寂れてるスレですね... >>34 FreeSSL (ttp://www.freessl.com/)というところならルート証明機関が USERTrustになっているサーバー証明書を無料で発行してくれるようです。 申請者の証明に自動応答の電話を使っているのでスグ発行してくれます。 信頼性という点で疑問符がつきますが、個人の鯖なら俺様証明書より いいと思いますよ。 何せ、IEやMozillaで文句言われなくなるし。 ...つーか、俺以外でFreeSSL使ってる香具師っておらんのか? そうそう、自動応答の電話は日本の電話を指定できるし、さらに携帯電話でも 大丈夫です。 簡単な質問(「表示されている数字を押せ」とか「喪前の名前を録音すっから 言え」とか)に答えるだけなんで、誰でも取れます。 俺に続くチャレンジャーはおらんかな? 山崎渉しか来てなかったんでちっと見てなかったっす。 すんません。 >>41 もちろん大丈夫でし。 ありがとう。 Apache のバージョンアップができたら入れてみよう。 一応、手順を言っておくと 1) ttp://www.freessl.com/ へいって FreeSSL を "Order NOW!!" 2) CSR(証明書の元ね)を作ってフォームにはりつけて "Next" 3) CN(証明したいURL)が出てくるので正しければ "Next" 4) 責任者の名前、メールアドレス、電話番号を記入する 他にも技術責任者とか経理とかの名前を書く欄があるけど、全部上に 同じにすればおっけー 5) 認証に使う電話番号を入力 国選択もあるので Japan を選択 6) 認証の電話の手順が表示されて、電話を掛けるボタンが出てくる 7) ボタンを押すと暗証番号が表示されて、本当に電話が掛かってくる 8) 電話には #, [暗証番号]#, [音声で自分の名前]# で終了 うろ覚えだから間違ってるかも… >> 2) CSR(証明書の元ね)を作ってフォームにはりつけて "Next" どうやって作るの?ドキュソでスマソ. >>48 openssl を使ってCSRを作る方法は以下の通りっす。 1) まずRSAキーを作る。これが証明書に押される自分のハンコがわりのものになる % openssl genrsa -des3 -out hogehoge.key 1024 "-des3" ってつけるとパスフレーズを聞かれるんで適当に打つ 証明書を使う時には必ずこのパスフレーズが必要になるんで注意! Apache 立ち上げる時にも聞かれるんで、PC起動時にはコンソールに貼り付く必要アリ "-des3" 付けないと暗号化されないんでそんな必要はなくなるけど、証明書と 対になるRSAキーを取られるだけでその証明書を誰でも使えるようになる 面倒なんで俺はこっちだけど、あんまりお薦めできない 2) CSRの作成 % openssl req -new -key hogehoge.key -out hogehoge.csr なんか英語で質問されるんで適当に答えること 質問と典型的な答えは以下の通り 国名2文字("JP") 都道府県名("Tokyo"とか) 市町村名("Chiyoda-ku"とか)、 会社・団体名("AKIBA DQN KAI"とか) 部署名("FAT OTAKU GROUP"とか)、 証明したいモノ(ホスト名なら"fat.akiba-dqn.jp"とか) メールアドレス("otacky@akiba-dqn.jp"なんてね) あとはできたhogehoge.csrの中身(テキスト)をformにコピーすりゃオケー > おうちde鯖さん 詳しい説明ありがとうー。 ぼくは前に仕事でベリサインのセキュアIDをとったことがあるので、 ひととおりやったことはあるんだけど、 ベリサインには、英語の説明しかなかったよ。(Apache1.3+mod_ssl の場合。) 週末にでも Apache の新しいのを mod_ssl 付でコンパイルしてためしてみます。 > 41さん ベリサインで証明書発行してもらったことある人だったとは。 釈迦に説法ですたね。 > ベリサインには、英語の説明しかなかったよ。 今なら ttp://www.verisign.co.jp/ に日本語の詳しい説明があったはず。 俺はAI出版から出てる"SSLサーバの構築"って本をアンチョコにしてるけど… FreeSSLで証明書作って成功したら報告してちょ。 おうちde鯖さんの言うとおりやったらできたー! FreeSSL の手続きそのものは、>>46 で正しかったです。 で、電話での認証が終わると、 しばらくして CRT(Web Server Certificate)がメールで送られてきます。 (これが送られてくるまで数分かかった。) そのあとの手順のまとめ(Apache2 の場合) 9) CRT ファイルと秘密鍵ファイルを入れるディレクトリを作成 mkdir /usr/local/apache2/conf/ssl.crt mkdir /usr/local/apache2/conf/ssl.key 10) >>49 の手順で作った秘密鍵ファイル(ここでは、hogehoge.key)を上記の秘密かぎのディレクトリにコピー cp hogehoge.key /usr/local/apache2/conf/ssl.key/ 11) FreeSSL から送られてきた CRT を hogehoge.crt として保存 cat > /usr/local/apache2/conf/ssl.crt/hogehoge.crt (ターミナルに CRT をコピペ) -----BEGIN CERTIFICATE----- MIID/zCCAuegAwIBAgIEAIW1CTANBgkqhkiG9w0BAQQFADCBozELMAkGA1UEBhMC (中略) yMtv+gZCk8O1DI6x9jXI44axqw== -----END CERTIFICATE----- (続き) 12) /usr/local/apache2/conf/ssl.conf を修正。 (Apache 1.x + mod_ssl の場合は、httpd.conf だと思う。) SSLCertificateFile と SSLCertificateKeyFile に、上でコピーした CRT および秘密鍵ファイルのフルパスを書く その他、ServerName とか ServerAdmin とかも適宜修正。 13) Apache が動いていたら、いちどストップさせる。 14) SSL 付の Apache を起動。 /usr/local/apache2/bin/apachectl startssl (start じゃなくて、startssl) ここで、かぎを作ったときに設定したパスフレーズを入力。 15) パスフレーズがあっていれば起動する。 16) https://hogehoge として、アクセスできるか確認。 一般の SSL サーバと同じように、暗号化がどうのこうのというダイアログが現れて無事出来れば、設定完了! >>54-55 41さん、おめでとうござりまする。 特に問題なく証明書を発行してもらえたようなんで安心しますた。 最近になって、この証明書は Netscape 4.x でも通用することが判ったんですが、 かわりに i-mode では使えないことも判明して悲しいかぎりです。 i-mode でも使おうと思っていたのに… 他の認証局に切り替えようかな。トホホ がーん。i-mode で使えないのか。。。 まぁただなんだし仕方ないかな。 無料の証明書が発行できると聞いてこのスレにある FreeSSL を利用しようかと思って、ttp://www.freessl.com/ に 行ったところ、$35 とあった。有料になっちゃったんでしょうか。 >>59 ガ〜ン いつの間にかタダじゃなくなってたんですね!! "Free" と言いながらヒドいなぁ... ...と言うのはウソで、やっぱり確認の電話代とかのコストがだいぶかかって いたんじゃないんですかね。 なにせ日本の携帯電話でも確認の電話がとれていたんで。 でも $15 ぐらいだったら仕方ないと思って払っていたでしょうけど、 $35 は 高杉って気がします。 今後は Chained SSL を買えってことなんでしょうな。 そういえば私ん所に "Please review your FreeSSL Order: XXXXX" って題名の 確認メールが来てました。 証明書もらってから約一月経ったから送ってきたのでしょうけど、送ってくる なんて知らなかったから、かなりビックリしました。 運良く FreeSSL でタダの証明書を取った他の人も、こんなメールが送られて くると思うので、覚悟しておいたほうが良いかも。 最も、題名に "Yes" って書いて返信すれば良いみたいですが。 478 名前:名無しさん(新規)[sage] 投稿日:03/05/13 09:28 ID:LhPH6PAz >>477 サイト内のJNBが用意してるボタンの事よ。 SSLのサイトでブラウザの戻るボタンを使うヴァカがいるわきゃない 481 名前:名無しさん(新規)[sage] 投稿日:03/05/13 19:03 ID:LhPH6PAz つーかブラウザの戻るボタンで普通に戻れるとしたら、どう考えてもセキュリティ上問題ある罠 ━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━― ∧_∧ ピュ.ー ( ^^ ) <これからも僕を応援して下さいね(^^)。 =〔~∪ ̄ ̄〕 = ◎――◎ 山崎渉 初めてのSSLです。セットアップまでは終了した(と思う^^;)。 でPHPのコード書いてみようと思うんですが ・GET使うな ・https:// でリンク張れ 以外に基本的にこう作るだろ、普通 みたいなことがあったら教えて下さい。 SSLとPHPならココ嫁みたいのも、大歓迎でし。 ぐぐるで良いの見つからなかったんで、、、 ApacheとSSL証明書設定みたいなことって、誰でも簡単に出来るレベルでつか? 例えば、PCをいやいや使ってる営業マソとか。 初歩的な質問ですが、OpenSSLって、公開鍵暗号、共有鍵暗号と両方使われてるようですね。 そのときの暗号化は何で行われてるんでしょう。 RSA? >>69 普通、一般に遅い、公開鍵暗号を使うときは、速度を上げるために、その2つのハイブリッド方式、 公開鍵暗号で、十分な長さの秘密の鍵を共有して、その鍵を使って、共通鍵暗号で暗号化する。 という方法をとる。 >>69 質問の答えは… RSA + RC4が普通? 有難うございます。 >>70 >>72 つまり、選択できるわけですね。 OpenSSLのソースを見ようと思いましたが、なんか解凍時にエラー。 OpenSSLから、gnupgライブラリをコールしてるのかな?詳しい方教えて下さい。 無料証明書 ホレ ttp://freeca.digion.com/ __∧_∧_ |( ^^ )| <寝るぽ(^^) |\⌒⌒⌒\ \ |⌒⌒⌒~| 山崎渉 ~ ̄ ̄ ̄ ̄ freesslの60日証明書ってどうやってとるの? メールリンクになってるし・・・。 ∧_∧ ∧_∧ ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。 =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕 = ◎――――――◎ 山崎渉&ぼるじょあ (⌒V⌒) │ ^ ^ │<これからも僕を応援して下さいね(^^)。 ⊂| |つ (_)(_) 山崎パン http://www.foo.com に設置してあるフォームから https://www.bar.com (SSL付き) においてるCGIに対してpostでsubmitしたとき、 そのデータって暗号化されますか? >>82 どういう理屈なんでしょうか・・・・というか、 HTTP/1.1 200 OK Date: Tue, 10 Jun 2003 19:03:09 GMT Server: Apache/1.3.26 (Unix) GGN-MM/1.3.1 mod_ssl/2.8.10 OpenSSL/0.9.6d Connection: close Content-Type: text/html <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN"> <HTML><HEAD><TITLE>SSL Test</TITLE></HEAD> <BODY BGCOLOR="#FFFFFF" TEXT="#000000" LINK="#0000FF" VLINK="#4040FF" ALINK="#2020FF"> もし↑のようだったら、 の、どのタイミングから、暗号化されるんでしょうか? どなたか >>80 の場合、 どのタイミングから、暗号化されるのか、教えてください。 (ヒントやポインタだけでもいいので。。。) >>85 どうも>>84 は、HTTPよりSSLがレイヤが下であることを分かっていないと思われ。 STARTTLSみたいな例外はあるが、基本的にSSLっつーのはセキュアな仮想回線の確立を先にやって、その後で既存のプロトコルを流す。 って説明で分かった?>>80 ってなんだこりゃ、3ヵ月も前の質問かよ… よくスレ生きてたな。上げてみよう。 SSL 証明書の一部が日本時間2004年1月8日の朝9時に期限切れ。 ttp://slashdot.jp/developers/03/12/11/089207.shtml?topic=43 ttps://www.verisign.co.jp/server/cus/rootcert/2028pca3.html ttps://www.verisign.co.jp/server/cus/rootcert/for_ie4xuser.html ん〜、これは以下の場合のみ発生する祭りなのか? 誰かエロい人、教えてください。 ・IE 5 以前 ・Signed Applet で SSL 通信 結局、世の中なにをするにも銭だ! 札束でビンタしたろーか? 某@it掲示板で質問したのですが、レスがいただけず、ここに流れてきました。 下記の件について、何かご存じの方がいらっしゃいましたら、 ご教授をお願いいたします。 環境は、Windows2000 + Tomcat 4.1です。 漢字名のフォルダに対して、SSL認証をかけようとしているのですが、うまくいってません。 一応、英数字名のフォルダに対して、セキュリティがかかっているのは確認しています。 ちなみに、webapps直下のフォルダ名も漢字でありまして・・・。 こっちのほうは、server.xmlにcontextを設定するのもちゃんとできてます。 で、私がそのためにやったことなんですが、 ・web.xmlをutf-8にする。(くどいようですが、エディタにutf-8である旨を指定して ファイルを開くと、正常に漢字が見られるようになってます。) ・web.xmlのsecurity-constraintに、url-patternを設定。 ・漢字(urf-8)で設定(まあ、ファイルのエンコードがutf-8ですから) ・URLエンコードで設定(Mozillaがアドレスバーに展開したものをコピーしました(^ ^;) てなところです。 ログインした状態で、url-patternに記述した監事フォルダ以下のファイルのURLをコピー。 そしてログアウトしてから、直接URLをたたくと、ログインページに飛ばず、見られてしまうんです。 ひとつ、英数字のフォルダをはさめば、問題は解決するんですが・・・。 ポリシーの管理者が私ではないので、何とか、漢字名フォルダを 利用できるようにする方法を探してます。 何か、ご存じの方がいらっしゃいましたら、ご指摘頂けますよう、お願いします。 ApacheにSSLを組み込んで動かしているのですが、以下のエラーが Apacheのエラーログに表示されます。いったいどういう意味なのでしょうか? [Wed Jun 1 18:58:43 2004] [error] mod_ssl: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!] (System error follows) [Wed Jun 1 18:58:43 2004] [error] System: Connection reset by peer (errno: 104) ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.1 2024/04/28 Walang Kapalit ★ | Donguri System Team 5ちゃんねる