無料でSSL証明書を取得できるサービス、来年夏登場予定 28
ストーリー by hylom
とりあえず暗号化するだけならこれでOKか 部門より
とりあえず暗号化するだけならこれでOKか 部門より
あるAnonymous Coward 曰く、
MozillaやCisco、Akamai、電子フロンティア財団(EFF)などが作った研究グループ「Internet Security Research Group」が、無料で利用できるSSL証明書発行機関を創設するという(TechCrunch、CNET Japan)。
この取り組みは「Let's Encrypt」と呼ばれており、SSL証明書を無償で容易に得られるような仕組みを作り上げるという。具体的には、シェル上でコマンドを実行するだけでHTTPSを利用できるようになるそうで、関連コードはGitHub上で公開されている。
暗号化するのにお金を払わなければならない、という理由はないよね (スコア:2)
この取組ではISRGが正式な証明書発行を利用者に対して無償で行うのだろう。
詳しい審査が行われないので当然、証明書を持つ者や組織の真正性の担保はされない。(企業認証証明書の代わりにはならない)
とはいえ証明書を取ろうとしているのがドメインの所有者であるかは最低でも担保されないと困る。だからその審査を行いつつ、それでも無償でサービスするのだろうか。
つまり、現在は有償で行われているドメイン認証のSSL証明書発行を、無料にしようってことなのかな?
どんな仕組みで実現するのか、ちょっと興味があるかな。
作成した証明書を、whoisで登録されているメールアドレスに送りつける、とかだったら危険なような。
Re:暗号化するのにお金を払わなければならない、という理由はないよね (スコア:5, 興味深い)
概要はこれかな。 https://letsencrypt.org/howitworks/technology/ [letsencrypt.org]
詳細はこっちを見よと書いてある。https://github.com/letsencrypt/acme-spec
ざっくりいうとこんな感じだと思う。間違ってたらごめん。
1. サーバーからCAに発行要求を送る。
2. CAからサーバーに、指定した内容のファイルを置くよう指示する。
3. CAがそのファイルを取得できたら、そのドメインの所有者と認め、証明書を発行する。
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
Re: (スコア:0)
Google の Webサーバ所有証明みたいなものですね。
Re: (スコア:0)
確かにお気軽なドメイン所有証明ですしね。
いいんじゃないですかね。StartComよりも簡単な気がします。
ついでに同じ仕組で、プログラムの署名用とかの証明書ももらえると助かるよ。
Re: (スコア:0)
3.の段階でCAが偽サーバーに接続に行く危険性はないんだろうか?
Re: (スコア:0)
ドメインに登録されたネームサーバ名やそのDNSサーバ自身が乗っ取られる可能性については、通常のSSLの場合は一般に、有料のサービスであっても考慮外ですよ。
その種類の危険性まで考慮するとしたら、それはEVSSL (アドレスバーが緑色になるもの) という基準に従った証明書です。
Re: (スコア:0)
専用のエージェントソフトが必要というようなことが
書いてあるので、恐らくドメイン認証はそのソフトが行うのだと
思いますが、詳しい日本語の解説、どこかにないかな……。
ただ、この方法だと発行団体の実在性確認(登記簿謄本の確認)
を行わないと思うので、信頼性に疑問があります。
オレオレ証明書と大差ないような。
有名サイトのドメインをちょっと捩ったドメインを取得し、
そのドメインの証明書をこのシステムで取得すれば、
httpsのフィッシングサイトが容易に作れるのでは。
今まではフィッシングサイトが認証局発行の証明書を使って
httpsサイトを立ち上げることはまずなかったので、
「URLがhttpsで始まっているかどうか」を確認すれば
大半のフィッシングサイトを避ける事ができたと思う
のですが。
Re:暗号化するのにお金を払わなければならない、という理由はないよね (スコア:2)
訪問者視点からは、手動での承認がいらないオレオレ証明書だろうとは思います。
EV SSL だとURLバーの表示が変わるのの逆で、
このCAから発行されたSSLのサイトは、URLバーがhttpのサイトと同じような表示になる、
みたいな機能が実装されたりして。
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
Re: (スコア:0)
普通に DV SSL かと。 Domain Validation
RapidSSL と PositiveSSL ユーザーとしては使い勝手変わらんかなと思いつつ。
Re: (スコア:0)
SSLを使って暗号化するためだけの目的なんだという理解です
名前は証明書ですが、証明している内容は単に他の誰かとは違うということだけなのでは。
Re: (スコア:0)
それだけだったら、オレオレ証明書で十分なのでは……。
TechCrunchの記事だと、まるでhttps通信の実装が
凄いハードルの高い事のように読めてしまい、
違和感を覚えます。
Re:暗号化するのにお金を払わなければならない、という理由はないよね (スコア:1)
オレオレ証明書は偽証明書による中間者攻撃が可能なのでダメです。トラストチェーンは絶対必要。
ただ、DNSSECでトラストチェーンを作る仕組みは検討されていたはず。これですね。
DNS-based Authentication of Named Entities
http://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities [wikipedia.org]
Re: (スコア:0)
httpsが一般化して、信頼性を上げるために実在証明のEV SSLの普及が進むのは良いことだと思いますけどね。
Re: (スコア:0)
たしかにおっしゃるとおりですけど、今でも格安証明書では登記簿謄本のチェックなんてしていませんね
事実上無チェックです
フィッシングサイトでも簡単に証明書とれると思います
Re: (スコア:0)
> 今でも格安証明書では登記簿謄本のチェックなんてしていませんね
だから現状でも「実在証明」が要求される案件では使えない。というのは当然の前提として。
逆に、「自分が管理しているドメイン」に関して自分が使う分には問題ないだろう。
> フィッシングサイトでも簡単に証明書とれると思います
ご自分が直前で書いているとおり、現状でも簡単に取れるので、それを理由に批難しても、それがなにか、としか。
Re: (スコア:0)
ん?
> > フィッシングサイトでも簡単に証明書とれると思います
> ご自分が直前で書いているとおり、現状でも簡単に取れるので、それを理由に批難しても、それがなにか、としか。
直前も何も、(現状でも)フィッシングサイトでも簡単に証明書とれる、と言っているんだと思うが。
Re: (スコア:0)
えっ
現状でも簡単に取れるので、証明書が簡単に取れるという理由での「Let's Encrypt」批判は筋が通らない、という意味じゃないの?
Re: (スコア:0)
> 「URLがhttpsで始まっているかどうか」を確認すれば
いままでだって、これだけでは何の意味もない確認だと思います。
これではフィッシングサイトを避けられませんよ。
Firefoxだけじゃ。。。 (スコア:1)
Google ChromeもSafariもIEも対応してくれなきゃ
実質オレオレ証明と大差ないんじゃないかなぁ
Opera使ってる人なら自分で登録するだろうし
ガラケーは置いておくとしても
衰退気味なFirefoxだけじゃどうにもこうにも
# Intemet Security Resaerch Groupってな偽局受け入れさせる詐欺が生まれそう
Re: (スコア:0)
Firefox以外は証明局のインストールが必要、なんて事どっかに書かれてます?
#さすがにこのメンバーでCAcert.orgの二番煎じみたいな真似するとは思いがたいのですが
Re: (スコア:0)
メンバーにEFFが入っているのに、他のブラウザが追随しないわけがないだろ。
Re: (スコア:0)
それな
認証局は商売あがったり? (スコア:0)
証明書の閉店セールが始まる!
Re:認証局は商売あがったり? (スコア:1)
StartSSL の登場で廃業した認証局なんてありましたか?
サーバ証明書とは (スコア:0)
主に暗号化の通信のほかにサーバの正当性を示すためのものです。
ブラウザにサーバ証明書を発行した認証局自身の証明書が入っていないとオレオレ証明書になってしまいます。
サーバにアクセスしたときに認証局が確認できませんと言って確認画面が出たりして接続できません。
opensslのCAツールで作っただけのサーバ証明書はこれに当たります。
一般的な商用の証明書は認証局の証明書があらかじめブラウザに組み込まれているので警告はでません。
opensslのCAツールで作ったサーバ証明書でもopensslのCAツールで作った認証局の証明書をブラウザに入れておけば警告は出ません。
商用サービスの認証局では申請があった場合、電話やメールでの確認や会社の登記簿の確認などをしていたります。
今回のサービスはDNSが汚染されていれば偽りのサーバー証明書は取得できてしまうので、商用に使うべきではないと思います。
Re:サーバ証明書とは (スコア:1)
商用サービスでもオンラインでの確認のみのところはいくつもありますよ。
たとえばグローバルサインなど、ドメイン所有権のみ確認するタイプ (「クイック認証SSL」) では http://example.com/ [example.com] に META タグを入れて確認という選択肢があります。
商用サービスについて、いささか過大評価しているか、あるいは現状をご存じないようにお見受けします。
「商用では EV SSL を使え」との主張ならまだわかりますが。
Re: (スコア:0)
DNSが汚染されていれば、メールでの確認はパスできてしまうのでは。
ほんとうに安いところはメールでの確認だけですから、正直五十歩百歩でしょう。
CACert「」 (スコア:0)
# 認証局の官僚主義とかに言及しているあたりそっくりなんだが。