アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
先生、質問です。 (スコア:0)
http://httpd.apache.org/docs/trunk/ja/ssl/ssl_intro.html [apache.org]
あと、気になるのは、メールサーバとの通信や LDAP、無線LANの認証の通信などでも SSL を使うと思うけど、web 以外の分野でも「おれおれ証明書」などの問題って議論されてるのでしょうか?
Re:先生、質問です。 (スコア:2, 参考になる)
> 「mod_ssl」などでは、そういった設定は、可能なのでしょうか?
DHE-RSA-* の設定を選べば使えるんではないですかね。
ざっと調べたところではあまり普及していないようなのですが、なぜなんでしょう? SSLアクセラレータが対応していないとか?
> あと、気になるのは、メールサーバとの通信や LDAP、
> 無線LANの認証の通信などでも SSL を使うと思うけど、
> web 以外の分野でも「おれおれ証明書」などの問題って
> 議論されてるのでしょうか?
同様に問題であるはずですが、メールサーバの場合はオレオレ証明書が使われていても「脆弱性」として指摘する人は今のところいないようですね。元々メールは暗号化なしで送受信しているので、ないよりはましということで済まされてしまうのでしょうかね。もし、ISPがメールサーバを「SSL暗号化通信で安全」と謳っているなら、脆弱性として指摘できるでしょうけども。
DH生活 (スコア:2, 参考になる)
>DHE-RSA-* の設定を選べば使えるんではないですかね。
最近のOpenSSLだと暗号化スイートとして DHE-RSA-AES256-SHA 最優先というのが標準設定なので、
サーバapache, クライアント Opera みたいな双方OpenSSL依存プロダクトのような状況であれば
勝手に Diffie-Hellman 鍵交換が使われています。
でも世の中IEの割合が多いわけで、
IE6だと RC4-MD5, IE7ですらAES128-SHA にしかならないのでは
サーバ側ではどうしようもなく普及するわけもなし。
# Opera9 生活中
Re:DH生活 #1042166 (スコア:0)
openssl ciphers -v 'SSLCipherSuite +DH:aNULL などとすると、
設定対応するセキュリティプロトコルが確認できるようです。
IEですと、ダイジェスト認証しても、cgiに引数があると、うまく動かないようだったり、 「暗号化通信」だけでも、イントラサーバでできるとよいかと思ったのですが、 ブラウザ側のセキュリティプロトコルへの対応が必要なのかもしれませんね。
Re:先生、質問です。 (スコア:0)
この手のものは「不特定多数に信頼性を提供する」というよりは、ある程度限られた
ユーザに対しての提供になるから、オレオレ証明書でも運用できるんじゃないかな。
そもそも VeriSign はメールに証明書を使うことをサポートしてなかった気がする。
GeoTrust はサポートしてたけど、買収されてどうなったのかな。もちろん VeriSign のも
設定すれば使えてしまうんだけど。そういった意味でもまだ認知度は低い気がする。
# 実際には「警告が出てもOKを押せ」的なマニュアルが多いんだろうなぁ
Re:先生、質問です。 (スコア:0)
これ [verisign.co.jp]はどうなのでしょう?
身分証明書の提出は必要なのか?
Re:先生、質問です。 (スコア:0)
> そもそも VeriSign はメールに証明書を使うことをサポートしてなかった気がする。
それは S/MIME のこと?
「メールサーバとの通信」は、SMTP over SSL とかのことでしょう?なら、普通に HTTP over SSL 用のサーバ証明書が使えるでしょ。