トップページphp
134コメント51KB

SSLの使い方

■ このスレッドは過去ログ倉庫に格納されています
0001nobodyさん02/03/15 14:24ID:ZHi22efo
SSLに関して、まったり話しましょう。
0002nobodyさん02/03/15 14:27ID:???
では、まったりと終了しましょう。

お わ り
0003102/03/15 14:29ID:ZHi22efo
私は
https://XXXXX/
としてSSLに入りパスワードなどを送りあとは特に機密に関係なければ
遅いので、
http://XXXXX/
で元に戻しています。こんなのでいいのですか?
受け取るほうはとくにSSLであることを考慮していません。
ブラウザに鍵マークが出ているからそれでいいのかなぁ〜と
まあそんな感じでやってます。
0004102/03/15 14:37ID:ZHi22efo
ただ、戻すときにも、いいのかという確認画面がでるのでうっとうしいです。
0005nobodyさん02/03/15 14:47ID:???
        ここはまだできたてのスレッドなのであろう。
       しかしひとのあつまりそうなケハイはまるでない。
             きみたちはおもわずさけんだ。
             「マピロ マハマ ディロマト」
0006nobodyさん02/03/15 14:54ID:NtzdYptj
>>5
>「マピロ マハマ ディロマト」
てどういういみ?
0007nobodyさん02/03/15 14:56ID:NtzdYptj
>>3
どうせSSLに入ったんだったらあえて戻す必要ないんじゃない?
ていうか、SSLとhttp行ったり来たりのサイトはウザイし、かえって信用できなくなる。
あと、SSLに入っているのに、一部の画像なんかが「保護されていないよ」って警告出るサイトとかね。
0008102/03/15 15:09ID:ZHi22efo
なるほど、いまのシステムはログイン時のユーザーIDとパスワードだけ
必要であとはいらない仕様なので、解除してます。
何度も行ったり来たりにはなりません。

SSLだと遅くなると聞いたことがあるのでこのようになったのですが、
気にならない程度なんでしょうか?エンコードとか
0009nobodyさん02/03/15 15:20ID:NtzdYptj
>>8
入るときに一瞬引っかかるようなタイムラグ感じる程度で、そのあとは気にならないよ。
むしろ、出たり入ったりすることによって遅くなったりすると思う。
httpsに入れたら出さないのが基本だと思う。
出すときはもう、よそのサイトに行くときとか、そんな感じ。
でも、好きにしたら?
0010102/03/15 16:25ID:ZHi22efo
いえいえありがとうございます。検討してみる価値は十分あると思います。
ところで、受け取り側のプログラムは特にSSLかどうかは意識しなくて良い
んですよね。
0011nobodyさん02/03/15 17:44ID:???
Topページもhttps://にしちまえ。
Redirectして
0012nobodyさん02/03/15 21:43ID:???
職場からの私用アクセス用として、認証式CGI串を自宅鯖に設置。ついでにSSLも。
これで安心して仕事中ネットサーフ出来るなり。
0013nobodyさん02/03/16 02:38ID:4kjHj/OG
たまにサイトオープン一週間ぐらい前に「ベリサインのSSLで…」とかほざいて
くる客がいるがぶちのめしたくなる。。。
0014nobodyさん02/03/16 12:04ID:G+kQBq2C
>>8
ログインした後のセッション維持には cookie 使ってるんでしょ?
cookie が盗聴されないように SSL を継続するのがいいよ。
まあ、ポリシーしだいですがね。

受け取り側のプログラムがSSLを意識するとしたら、
クライアント認証で、クライアント証明書が送られてきたときに
その内容を確認して、ユーザー権限に従ったWEBページを
作成するとかでしょう。
0015102/03/19 09:43ID:a4uE6hDa
ベリサインなしのSSLってSSLの設定でベリサインに
なにも設定しないことでしょうか?
これってSSLの意味ないですよね。

それとSSLはサーバー側に設定するものと思っていますが、
クライアント認証とはどのように関連するのでしょうか?
0016nobodyさん02/03/19 11:17ID:???
>>15
激しく板違いな質問だな。
なのでおしえない
00171402/03/19 23:16ID:???
>>15
「べりサイン」は企業の名前です。
「ベリサインなしのSSL」という単語には、
何か名詞が省略されていますね。それを書いてみそ
推測ですが「ベリサイン」=「サーバ証明書」?
0018 02/08/01 07:00ID:w6Em/nLk
OPENSSLの0.9.6eをINSTALL.W32に書かれているようにNMAKEしたのですが、ちゃ
んと最後まで通りません。0.9.6dの時はできたのですが、0.9.6eではlinkで_OpenSSLDie
は未解決です。とか出て先に進みません。どうしたら良いのでしょうか。

環境は

OS:Windows98SE
VisualC++

です。
00191802/08/01 08:15ID:w6Em/nLk
すみません、自己解決ができた…んだと思います、多分…。

ms\ntdll.makの187行目を

$(OBJ_D)\ssl_err.obj
              ↓
$(OBJ_D)\ssl_err.obj $(OBJ_D)\cryptlib.obj

と変更したら通りました。これで良かったのが分からないのですが。
00201802/08/01 08:50ID:w6Em/nLk
ああ、訂正です。上に書いたのは恐らく間違っています。無視してやって下さい。

ms\libeay32.defの1752行目に

OpenSSLDie @3000

というのを追加するというのが恐らく正しいと思います。トラブルシューティング
に書いてありました。序数ファイルが更新されていない場合があるとか。
0021nobodyさん02/08/01 12:58ID:???
SSLって暗号化処理にCPUリソース使わない?
0022nobodyさん02/08/02 19:24ID:???
使いますが、なにか?
だからSSL使う処理を最小限にすべきなんです。
0023nobodyさん02/08/16 13:08ID:???
自分の掲示板にSSLを使うにはどうしたらいいんですか?
0024 ◆MySQL486 02/08/16 20:28ID:qTL2MAMy
i-modeの場合、1回SSL入ると毎回ページを移動するたびに
「SSL認証中」と出てくるので結構ウザい。。重いし。

Nだけ?

とりあえず用済みになったら戻してまつ。
0025nobodyさん02/08/16 21:09ID:???
NetsecurityはTopからhttps使うのな。
0026nobodyさん02/08/20 16:46ID:???
ѼѾ
0027nobodyさん02/11/11 08:38ID:???
ほしゅ
0028nobodyさん02/12/06 01:19ID:n7NWYNfy
Apache+mod_SSL+openssl環境下で
SSLProtocolVersion2でクライアント認証(=RequestCertificate有)
させるにはどうすればいいんでしょうか?

例(思い切りハショリ)
---
SSLProtocol Ver2
SSLCipherSuite RC4-MD5
SSLCertificateFile 任意
SSLVerifyClient optional(or Require)
#SSLVerifyDepth 10
---
みたいな感じですが…

0029nobodyさん02/12/06 01:25ID:n7NWYNfy
28ですが、何か?
ちなみに、この設定(思いっきりハショッテますが…)で通信させようとすると
サーバに怒られます。古いバージョンでは通った感じがするのですが、気の
せいでしょうか?

ところで、Version2ってチェーン設定できませんよね? あ、仕様読めって・・・(泣)
0030nobodyさん02/12/06 03:14ID:c59DR6dA
ネスケやオペラでフォーム送信時に、SSLでないと
「第三者によって簡単に読み取られる可能性があります」
とデフォルトで表示するの皆はどう思う?
俺はこのメッセージのためにSSLを導入せざるをえなくなって
すごく腹がたってるんだが・・・VeriSignたけーし。
そのくせ付属のメールアプリでは何の表示もしないんだよな。
そんなに暗号化にこだわるなら、メール送信時に
「このメールは暗号化されていないため
 第三者によって簡単に読み取られる可能性があります」
と表示するのがスジってもんだろが!
0031nobodyさん02/12/06 09:37ID:TwgoxCmb
>>30
別にどうも思わん。
次回から表示しないにしたからもう出てこないし。
0032nobodyさん02/12/06 13:49ID:ClEQp28P
>>30
君みたいな人は基本的にインターネット使わないほうがいいですよ。
POP3だったらメールアカウントのパスワードも平文で流れるよ。
0033nobodyさん02/12/06 13:58ID:FqRYnIRP
>>24でも既出だけど、
ケータイのSSLってエラく重くない?特にJぽん。
0034nobodyさん02/12/06 16:40ID:???
無料でサーバー証明書ゲットできることは、永遠に無理なのか?
0035nobodyさん02/12/07 15:18ID:???
自分で証明すればタダ
0036nobodyさん02/12/07 19:05ID:???
無料ではないもののセコムの証明書はベリの半額だが・・・
それでも¥65000だ。
0037山崎渉03/01/15 13:42ID:???
(^^)
0038おうちde鯖03/04/17 00:10ID:wYQBXWFJ
なんだか寂れてるスレですね...

>>34
FreeSSL (ttp://www.freessl.com/)というところならルート証明機関が
USERTrustになっているサーバー証明書を無料で発行してくれるようです。
申請者の証明に自動応答の電話を使っているのでスグ発行してくれます。
信頼性という点で疑問符がつきますが、個人の鯖なら俺様証明書より
いいと思いますよ。
何せ、IEやMozillaで文句言われなくなるし。

...つーか、俺以外でFreeSSL使ってる香具師っておらんのか?
0039おうちde鯖03/04/17 00:15ID:wYQBXWFJ
そうそう、自動応答の電話は日本の電話を指定できるし、さらに携帯電話でも
大丈夫です。
簡単な質問(「表示されている数字を押せ」とか「喪前の名前を録音すっから
言え」とか)に答えるだけなんで、誰でも取れます。

俺に続くチャレンジャーはおらんかな?
0040山崎渉03/04/17 11:59ID:???
(^^)
0041nobodyさん03/04/18 19:59ID:imxWPMFU
>>39
英語できなくても大丈夫?
0042山崎渉03/04/20 06:01ID:???
   ∧_∧
  (  ^^ )< ぬるぽ(^^)
0043おうちde鯖03/04/20 17:49ID:Z+nTVWW3
山崎渉しか来てなかったんでちっと見てなかったっす。
すんません。
>>41
もちろん大丈夫でし。
00444103/04/21 20:01ID:1rpz+JcX
ありがとう。
Apache のバージョンアップができたら入れてみよう。
0045あぼーんNGNG
あぼーん
0046おうちde鯖03/04/23 01:46ID:KAT9H9HT
一応、手順を言っておくと
1) ttp://www.freessl.com/ へいって FreeSSL を "Order NOW!!"
2) CSR(証明書の元ね)を作ってフォームにはりつけて "Next"
3) CN(証明したいURL)が出てくるので正しければ "Next"
4) 責任者の名前、メールアドレス、電話番号を記入する
他にも技術責任者とか経理とかの名前を書く欄があるけど、全部上に
同じにすればおっけー
5) 認証に使う電話番号を入力
国選択もあるので Japan を選択
6) 認証の電話の手順が表示されて、電話を掛けるボタンが出てくる
7) ボタンを押すと暗証番号が表示されて、本当に電話が掛かってくる
8) 電話には #, [暗証番号]#, [音声で自分の名前]# で終了
うろ覚えだから間違ってるかも…
0047あぼーんNGNG
あぼーん
0048nobodyさん03/04/23 16:41ID:???
>> 2) CSR(証明書の元ね)を作ってフォームにはりつけて "Next"

どうやって作るの?ドキュソでスマソ.
0049おうちde鯖03/04/23 23:50ID:KAT9H9HT
>>48
openssl を使ってCSRを作る方法は以下の通りっす。

1) まずRSAキーを作る。これが証明書に押される自分のハンコがわりのものになる

% openssl genrsa -des3 -out hogehoge.key 1024

"-des3" ってつけるとパスフレーズを聞かれるんで適当に打つ
証明書を使う時には必ずこのパスフレーズが必要になるんで注意!
Apache 立ち上げる時にも聞かれるんで、PC起動時にはコンソールに貼り付く必要アリ

"-des3" 付けないと暗号化されないんでそんな必要はなくなるけど、証明書と
対になるRSAキーを取られるだけでその証明書を誰でも使えるようになる
面倒なんで俺はこっちだけど、あんまりお薦めできない

2) CSRの作成

% openssl req -new -key hogehoge.key -out hogehoge.csr

なんか英語で質問されるんで適当に答えること
質問と典型的な答えは以下の通り
国名2文字("JP")
都道府県名("Tokyo"とか)
市町村名("Chiyoda-ku"とか)、
会社・団体名("AKIBA DQN KAI"とか)
部署名("FAT OTAKU GROUP"とか)、
証明したいモノ(ホスト名なら"fat.akiba-dqn.jp"とか)
メールアドレス("otacky@akiba-dqn.jp"なんてね)

あとはできたhogehoge.csrの中身(テキスト)をformにコピーすりゃオケー
00504803/04/24 01:35ID:???
>>49
蟻がddddddd
00514103/04/24 21:37ID:v621bOqC
> おうちde鯖さん
詳しい説明ありがとうー。
ぼくは前に仕事でベリサインのセキュアIDをとったことがあるので、
ひととおりやったことはあるんだけど、
ベリサインには、英語の説明しかなかったよ。(Apache1.3+mod_ssl の場合。)

週末にでも Apache の新しいのを mod_ssl 付でコンパイルしてためしてみます。
0052おうちde鯖03/04/25 02:24ID:fCFpilmp
> 41さん
ベリサインで証明書発行してもらったことある人だったとは。
釈迦に説法ですたね。

> ベリサインには、英語の説明しかなかったよ。
今なら ttp://www.verisign.co.jp/ に日本語の詳しい説明があったはず。
俺はAI出版から出てる"SSLサーバの構築"って本をアンチョコにしてるけど…

FreeSSLで証明書作って成功したら報告してちょ。
0053あぼーんNGNG
あぼーん
00544103/04/29 23:40ID:ET5l+Jos
おうちde鯖さんの言うとおりやったらできたー!

FreeSSL の手続きそのものは、>>46 で正しかったです。
で、電話での認証が終わると、
しばらくして CRT(Web Server Certificate)がメールで送られてきます。
(これが送られてくるまで数分かかった。)

そのあとの手順のまとめ(Apache2 の場合)

9) CRT ファイルと秘密鍵ファイルを入れるディレクトリを作成
  mkdir /usr/local/apache2/conf/ssl.crt
  mkdir /usr/local/apache2/conf/ssl.key

10) >>49 の手順で作った秘密鍵ファイル(ここでは、hogehoge.key)を上記の秘密かぎのディレクトリにコピー
  cp hogehoge.key /usr/local/apache2/conf/ssl.key/

11) FreeSSL から送られてきた CRT を hogehoge.crt として保存
  cat > /usr/local/apache2/conf/ssl.crt/hogehoge.crt
  (ターミナルに CRT をコピペ)
  -----BEGIN CERTIFICATE-----
  MIID/zCCAuegAwIBAgIEAIW1CTANBgkqhkiG9w0BAQQFADCBozELMAkGA1UEBhMC
  (中略)
  yMtv+gZCk8O1DI6x9jXI44axqw==
  -----END CERTIFICATE-----
00554103/04/29 23:41ID:ET5l+Jos
(続き)

12) /usr/local/apache2/conf/ssl.conf を修正。
  (Apache 1.x + mod_ssl の場合は、httpd.conf だと思う。)
  SSLCertificateFile と SSLCertificateKeyFile に、上でコピーした CRT および秘密鍵ファイルのフルパスを書く
  その他、ServerName とか ServerAdmin とかも適宜修正。

13) Apache が動いていたら、いちどストップさせる。

14) SSL 付の Apache を起動。
  /usr/local/apache2/bin/apachectl startssl
  (start じゃなくて、startssl)
  ここで、かぎを作ったときに設定したパスフレーズを入力。

15) パスフレーズがあっていれば起動する。

16) https://hogehoge として、アクセスできるか確認。
  一般の SSL サーバと同じように、暗号化がどうのこうのというダイアログが現れて無事出来れば、設定完了!
0056おうちde鯖03/04/30 02:41ID:633ZEX9a
>>54-55
41さん、おめでとうござりまする。
特に問題なく証明書を発行してもらえたようなんで安心しますた。

最近になって、この証明書は Netscape 4.x でも通用することが判ったんですが、
かわりに i-mode では使えないことも判明して悲しいかぎりです。
i-mode でも使おうと思っていたのに…
他の認証局に切り替えようかな。トホホ
00574103/04/30 03:19ID:DNJ+ul9N
がーん。i-mode で使えないのか。。。
まぁただなんだし仕方ないかな。
0058あぼーんNGNG
あぼーん
0059nobodyさん03/05/20 21:22ID:qbOGZZ9P
無料の証明書が発行できると聞いてこのスレにある
FreeSSL を利用しようかと思って、ttp://www.freessl.com/ に
行ったところ、$35 とあった。有料になっちゃったんでしょうか。
0060おうちde鯖03/05/20 23:15ID:sePZERo+
>>59
ガ〜ン
いつの間にかタダじゃなくなってたんですね!!
"Free" と言いながらヒドいなぁ...








...と言うのはウソで、やっぱり確認の電話代とかのコストがだいぶかかって
いたんじゃないんですかね。
なにせ日本の携帯電話でも確認の電話がとれていたんで。
でも $15 ぐらいだったら仕方ないと思って払っていたでしょうけど、 $35 は
高杉って気がします。
今後は Chained SSL を買えってことなんでしょうな。

そういえば私ん所に "Please review your FreeSSL Order: XXXXX" って題名の
確認メールが来てました。
証明書もらってから約一月経ったから送ってきたのでしょうけど、送ってくる
なんて知らなかったから、かなりビックリしました。
運良く FreeSSL でタダの証明書を取った他の人も、こんなメールが送られて
くると思うので、覚悟しておいたほうが良いかも。
最も、題名に "Yes" って書いて返信すれば良いみたいですが。
0061nobodyさん03/05/20 23:21ID:WBMoaLsc
(*`▽´*)うひょうひょ
http://jbbs.shitaraba.com/computer/2364/
0062nobodyさん03/05/21 12:37ID:???
478 名前:名無しさん(新規)[sage] 投稿日:03/05/13 09:28 ID:LhPH6PAz
>>477
サイト内のJNBが用意してるボタンの事よ。
SSLのサイトでブラウザの戻るボタンを使うヴァカがいるわきゃない

481 名前:名無しさん(新規)[sage] 投稿日:03/05/13 19:03 ID:LhPH6PAz
つーかブラウザの戻るボタンで普通に戻れるとしたら、どう考えてもセキュリティ上問題ある罠
0063nobodyさん03/05/21 18:06ID:???
SSLと戻るボタンって、何か関係あるの?
0064山崎渉03/05/22 01:58ID:???
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―
0065山崎渉03/05/28 17:21ID:???
     ∧_∧
ピュ.ー (  ^^ ) <これからも僕を応援して下さいね(^^)。
  =〔~∪ ̄ ̄〕
  = ◎――◎                      山崎渉
0066nobodyさん03/06/10 14:21ID:4I43wpXk
初めてのSSLです。セットアップまでは終了した(と思う^^;)。
でPHPのコード書いてみようと思うんですが
 ・GET使うな
 ・https://でリンク張れ
以外に基本的にこう作るだろ、普通
みたいなことがあったら教えて下さい。
SSLとPHPならココ嫁みたいのも、大歓迎でし。
ぐぐるで良いの見つからなかったんで、、、
0067あぼーんNGNG
あぼーん
0068nobodyさん03/07/01 14:28ID:KMwUtbTz
ApacheとSSL証明書設定みたいなことって、誰でも簡単に出来るレベルでつか?
例えば、PCをいやいや使ってる営業マソとか。
0069nobodyさん03/07/01 16:55ID:KMwUtbTz
初歩的な質問ですが、OpenSSLって、公開鍵暗号、共有鍵暗号と両方使われてるようですね。
そのときの暗号化は何で行われてるんでしょう。
RSA?
■ このスレッドは過去ログ倉庫に格納されています