パスワードを忘れた? アカウント作成
11719483 story
インターネット

無料でSSL証明書を取得できるサービス、来年夏登場予定 28

ストーリー by hylom
とりあえず暗号化するだけならこれでOKか 部門より
あるAnonymous Coward 曰く、

MozillaやCisco、Akamai、電子フロンティア財団(EFF)などが作った研究グループ「Internet Security Research Group」が、無料で利用できるSSL証明書発行機関を創設するという(TechCrunchCNET Japan)。

この取り組みは「Let's Encrypt」と呼ばれており、SSL証明書を無償で容易に得られるような仕組みを作り上げるという。具体的には、シェル上でコマンドを実行するだけでHTTPSを利用できるようになるそうで、関連コードはGitHub上で公開されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 暗号化するのにお金を払わなければならない、という理由はとりたててないわけで、この取り組みはきっといいことだと思う。現在SSL証明書が有償なのは証明書発行機関などの審査、運用費用がかかっているからだよね。

    この取組ではISRGが正式な証明書発行を利用者に対して無償で行うのだろう。
    詳しい審査が行われないので当然、証明書を持つ者や組織の真正性の担保はされない。(企業認証証明書の代わりにはならない)

    とはいえ証明書を取ろうとしているのがドメインの所有者であるかは最低でも担保されないと困る。だからその審査を行いつつ、それでも無償でサービスするのだろうか。

    つまり、現在は有償で行われているドメイン認証のSSL証明書発行を、無料にしようってことなのかな?

    どんな仕組みで実現するのか、ちょっと興味があるかな。
    作成した証明書を、whoisで登録されているメールアドレスに送りつける、とかだったら危険なような。
    • 概要はこれかな。 https://letsencrypt.org/howitworks/technology/ [letsencrypt.org]
      詳細はこっちを見よと書いてある。https://github.com/letsencrypt/acme-spec

      ざっくりいうとこんな感じだと思う。間違ってたらごめん。
      1. サーバーからCAに発行要求を送る。
      2. CAからサーバーに、指定した内容のファイルを置くよう指示する。
      3. CAがそのファイルを取得できたら、そのドメインの所有者と認め、証明書を発行する。

      --
      svn-init() {
        svnadmin create .svnrepo
        svn checkout file://$PWD/.svnrepo .
      }
      親コメント
      • by Anonymous Coward

        Google の Webサーバ所有証明みたいなものですね。

        • by Anonymous Coward

          確かにお気軽なドメイン所有証明ですしね。
          いいんじゃないですかね。StartComよりも簡単な気がします。
          ついでに同じ仕組で、プログラムの署名用とかの証明書ももらえると助かるよ。

      • by Anonymous Coward

        3.の段階でCAが偽サーバーに接続に行く危険性はないんだろうか?

        • by Anonymous Coward

          ドメインに登録されたネームサーバ名やそのDNSサーバ自身が乗っ取られる可能性については、通常のSSLの場合は一般に、有料のサービスであっても考慮外ですよ。

          その種類の危険性まで考慮するとしたら、それはEVSSL (アドレスバーが緑色になるもの) という基準に従った証明書です。

    • by Anonymous Coward

      専用のエージェントソフトが必要というようなことが
      書いてあるので、恐らくドメイン認証はそのソフトが行うのだと
      思いますが、詳しい日本語の解説、どこかにないかな……。

      ただ、この方法だと発行団体の実在性確認(登記簿謄本の確認)
      を行わないと思うので、信頼性に疑問があります。
      オレオレ証明書と大差ないような。

      有名サイトのドメインをちょっと捩ったドメインを取得し、
      そのドメインの証明書をこのシステムで取得すれば、
      httpsのフィッシングサイトが容易に作れるのでは。

      今まではフィッシングサイトが認証局発行の証明書を使って
      httpsサイトを立ち上げることはまずなかったので、
      「URLがhttpsで始まっているかどうか」を確認すれば
      大半のフィッシングサイトを避ける事ができたと思う
      のですが。

      • 訪問者視点からは、手動での承認がいらないオレオレ証明書だろうとは思います。

        EV SSL だとURLバーの表示が変わるのの逆で、
        このCAから発行されたSSLのサイトは、URLバーがhttpのサイトと同じような表示になる、
        みたいな機能が実装されたりして。

        --
        svn-init() {
          svnadmin create .svnrepo
          svn checkout file://$PWD/.svnrepo .
        }
        親コメント
        • by Anonymous Coward

          普通に DV SSL かと。 Domain Validation
          RapidSSL と PositiveSSL ユーザーとしては使い勝手変わらんかなと思いつつ。

      • by Anonymous Coward

        SSLを使って暗号化するためだけの目的なんだという理解です
        名前は証明書ですが、証明している内容は単に他の誰かとは違うということだけなのでは。

      • by Anonymous Coward

        httpsが一般化して、信頼性を上げるために実在証明のEV SSLの普及が進むのは良いことだと思いますけどね。

      • by Anonymous Coward

        たしかにおっしゃるとおりですけど、今でも格安証明書では登記簿謄本のチェックなんてしていませんね
        事実上無チェックです
        フィッシングサイトでも簡単に証明書とれると思います

        • by Anonymous Coward

          > 今でも格安証明書では登記簿謄本のチェックなんてしていませんね
          だから現状でも「実在証明」が要求される案件では使えない。というのは当然の前提として。
          逆に、「自分が管理しているドメイン」に関して自分が使う分には問題ないだろう。

          > フィッシングサイトでも簡単に証明書とれると思います
          ご自分が直前で書いているとおり、現状でも簡単に取れるので、それを理由に批難しても、それがなにか、としか。

          • by Anonymous Coward

            ん?

            > > フィッシングサイトでも簡単に証明書とれると思います
            > ご自分が直前で書いているとおり、現状でも簡単に取れるので、それを理由に批難しても、それがなにか、としか。

            直前も何も、(現状でも)フィッシングサイトでも簡単に証明書とれる、と言っているんだと思うが。

            • by Anonymous Coward

              えっ
              現状でも簡単に取れるので、証明書が簡単に取れるという理由での「Let's Encrypt」批判は筋が通らない、という意味じゃないの?

      • by Anonymous Coward

        > 「URLがhttpsで始まっているかどうか」を確認すれば
        いままでだって、これだけでは何の意味もない確認だと思います。
        これではフィッシングサイトを避けられませんよ。

  • by Anonymous Coward on 2014年11月20日 12時12分 (#2714384)

    Google ChromeもSafariもIEも対応してくれなきゃ
    実質オレオレ証明と大差ないんじゃないかなぁ

    Opera使ってる人なら自分で登録するだろうし
    ガラケーは置いておくとしても
    衰退気味なFirefoxだけじゃどうにもこうにも

    # Intemet Security Resaerch Groupってな偽局受け入れさせる詐欺が生まれそう

    • by Anonymous Coward

      Firefox以外は証明局のインストールが必要、なんて事どっかに書かれてます?
      #さすがにこのメンバーでCAcert.orgの二番煎じみたいな真似するとは思いがたいのですが

    • by Anonymous Coward

      メンバーにEFFが入っているのに、他のブラウザが追随しないわけがないだろ。

    • by Anonymous Coward

      それな

  • by Anonymous Coward on 2014年11月20日 13時16分 (#2714474)

    証明書の閉店セールが始まる!

  • by Anonymous Coward on 2014年11月20日 19時51分 (#2714792)

    主に暗号化の通信のほかにサーバの正当性を示すためのものです。
    ブラウザにサーバ証明書を発行した認証局自身の証明書が入っていないとオレオレ証明書になってしまいます。
    サーバにアクセスしたときに認証局が確認できませんと言って確認画面が出たりして接続できません。
    opensslのCAツールで作っただけのサーバ証明書はこれに当たります。

    一般的な商用の証明書は認証局の証明書があらかじめブラウザに組み込まれているので警告はでません。
    opensslのCAツールで作ったサーバ証明書でもopensslのCAツールで作った認証局の証明書をブラウザに入れておけば警告は出ません。

    商用サービスの認証局では申請があった場合、電話やメールでの確認や会社の登記簿の確認などをしていたります。
    今回のサービスはDNSが汚染されていれば偽りのサーバー証明書は取得できてしまうので、商用に使うべきではないと思います。

    • by Anonymous Coward on 2014年11月21日 3時39分 (#2714950)

      商用サービスでもオンラインでの確認のみのところはいくつもありますよ。
      たとえばグローバルサインなど、ドメイン所有権のみ確認するタイプ (「クイック認証SSL」) では http://example.com/ [example.com] に META タグを入れて確認という選択肢があります。
      商用サービスについて、いささか過大評価しているか、あるいは現状をご存じないようにお見受けします。
      「商用では EV SSL を使え」との主張ならまだわかりますが。

      親コメント
    • by Anonymous Coward

      DNSが汚染されていれば、メールでの確認はパスできてしまうのでは。
      ほんとうに安いところはメールでの確認だけですから、正直五十歩百歩でしょう。

  • by Anonymous Coward on 2014年11月20日 22時35分 (#2714874)

    # 認証局の官僚主義とかに言及しているあたりそっくりなんだが。

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...