2011年9月21日(水)Newsletter -
DigiNotarのサイト(https://www.diginotar.nl)
2011年9月5日に、ComodoHackerと名乗る人物がグローバルサインの認証局にアクセスしたという声明文を発表したことにより、グローバルサインのサーバー証明書の発行が一時停止となりました。単なる嫌がらせやデマで声明が出されることもありますが、グローバルサインと同時に名前の上がったStarCom, DigiNotar では実際のアクセスが確認されました。
ルート認証局の秘密鍵(公開鍵暗号では、秘密鍵と公開鍵からなる)が漏洩した場合、それはビジネスの破綻につながる可能性が出てきます。
一般に、認証局の秘密鍵によって、サーバーで発行したCSR(Certificate Signing Request)に署名されたものが証明書になるので、秘密鍵が漏れることで認証局でない人が、認証局になりすまして証明書を発行できてしまうからです。
ComodoHackerとなのる人物が、Globalsignの不正アクセスをした声明文
ComodoHackerが不正にアクセスしたというDigiNotarでは、不正な認証局から不正な証明書(Google.comなど)が531枚発行され、その証明書を信じたインターネット利用者が実害にあっています。これに対処しインターネット利用者を保護するために、ブラウザ提供業者や携帯電話各社はブラウザからDigiNotarのルート証明書を外す措置を取りました。
GoogleのブラウザChromeで閲覧できる信頼されない発行元
DigiNotarは、日本ではまだ知名度は高くありませんが、オランダの認証局で、ヨーロッパでは広範に利用されています。グローバルサインの認証局はベルギーにあり、DigiNotarとも交流がありますので9月5日の事件以降、同じくヨーロッパで著名なComodo(認証局は英国)を加えて3社で対応を協議しているとのことです。
https://www.joes-ssl.com
現在グローバルサインからは、再三の監査を行ない安全性が確認できたので、証明書の発行を再開する旨の発表がありました。
Joe’s SSL市場(https://www.joes-ssl.com)は、客観的な正しい情報を皆様にご提供し安心してSSL証明書をご利用いただくことを最優先に考えています。次号以降、進展などがあれば引き続いてご紹介していきます。
2011年8月18日(木)Newsletter -
SSL証明書には、ブラウザからウェブサイトのあるサーバーへ暗号化してファイルを送信する機能の他に、そのサーバーが本物(正当な受信者)であることを証明する機能があります。ネットワークでは、オレオレ詐欺に相当する犯罪(フィッシング)があり得えます。たとえば、偽装サイトで、クレジットカードの番号を入力してしまうといった状況です。
そのために、普通、ある認証局に依頼して本物のサイトであると認定してもらい、証明書(サーバー証明書)を発行してもらいます。しかし、悪意のあるサーバーが、証明書自体を偽造するという状況もありえます。そこで、その認証局はさらに上位の認証局から証明書をもらいます。このように上位の認証局をたどっていくと、どこかで最上位の認証局(ルート認証局)に到達します。その証明書(ルート証明書)がアクセスしたブラウザの中にあれば、最下位にあったサーバーの正当性が証明されたことになります。つまり、SSL証明書は有名なもので、ブラウザ開発各社が知っているものでないと、意味をなさないことになります。携帯の場合、ブラウザのアップグレードが難しいので、古い携帯と新しい証明書は、相性が悪いのが普通です。
Joe's SSL市場で取得したEV証明書
サーバー証明書を発行するのは、すぐ上位の認証局(中間認証局)ですが、あるブラウザとサーバー証明書が対応するか否かは、そのルート証明書がブラウザの中にあるか否かによって決まります。ベリサインの場合、クロスルートがある場合を除いて、認証局は3層です(いずれも米国に設置)。つまり、サーバーの上位に中間認証局が、そしてさらに上位にルート認証局があります。つまり、サーバー証明書、中間証明書、ルート証明書の3種類のSSL証明書があります。
並行輸入とよばれながらも安く提供した業者のおかげで、この水はかなり安くなった
ベリサインで発行されるSSL証明書で、ルート証明書は、以前から世界共通でした。したがって、特殊な状況を除いて、携帯サイトへの対応率も同じでした。さらに、2010年10月10日の仕様変更以降は、ベリサインで発行されるSSL証明書は、中間証明書も世界共通になっています。secure site (旧セキュアサーバーID)、secure site pro (旧グローバルサーバーID)ともに、クロスルートがあってもなくても、すべて共通(米国標準)です。
これは、ごく自然なことと思われます。ベリサインのSSL証明書は、米国のシマンティック社で発行されるので、権威があります。また、国内のベリサイン証明書を販売する業者は例外なくすべて、米国で発行するベリサイン証明書の再販業者ということにができます。
ところで、コントレックスという水(図)をご存知の方は多いと思います(昔から人気がありました)。以前は、正規代理店の権利を取得して、販売を独占している業者から購入する必要があり、かなり高価でした。しかし、どの購入ルートから購入しても本質的に同じ商品(キャップの色などを除いて)であることが知られるようになってからは、広く飲まれるようになりました。もしかしたら、それと同じ公式がベリサインのSSL証明書についてもあてはまるかもしれません。
Joe’sでは、ベリサインのSSL証明書に関しては、主力製品であることを踏まえて、発行の迅速さ、サポート、支払い条件(前払いか、後払いか)などについて、皆様に満足いただけるよう、最善の努力をしています。そして、ベリサインのSSL証明書を多くの方に使っていただけるよう、今後とも努力していく所存でございます。
2011年4月12日(火)Newsletter -
URLがhttps://で始まっている、または、グリーンで表示されている場合、正当な当事者であることを示す証明書がサイトに備え付けられています(SSL通信という名前の手順なので、SSL証明書と言われます)。この証明書は、ベリサインやグローバルサインなどの信頼のできる認証機関が発行するもので、偽造できないテキストデータからなっています。SSL証明書の発行を申請するには、認証局に、申請者が該当サイトの所有者であることと、表示される会社の名称や住所が正しいことを示す証拠となるものを見せなければなりません。
認証局が、ドメインのwhois情報にあるメールアドレスに確認のメールを送り、申請者がURLをクリックという方法(ドメイン認証)があります。ただ、その場合、申請者がそのドメインの持ち主であることは保証されますが、会社名や住所などを偽って証明書を発行することもできてしまいます(whois情報が自己申告に基づくため)。
審査が厳しい証明書だと、DUNS番号(全世界の多くの企業、政府が、データベース上で企業を識別する手段として採用している、 世界標準の企業識別コード)に登録されていないと、本人確認のために、認証局が申請者に登記謄本の提出を依頼します。そして、記載されている電話番号、もしくはNTTの電話帳に記載されている電話番号に電話して本人確認を行い、そのような不正を防ぎます。NTTの電話帳に記載がない場合、その電話番号の請求書の提出が要求されます。
一般に、低価格の証明書では前者の手順で 即日、高価格の証明書では後者の手順で数日間で証明書が発行されます。ベリサイン、セコム、サイバートラストなどは、後者に属します。審査にコストがかかるのと、信用性が高いので、高価になります。
通常は、サイト所有者ではなく、サイト開発者が代行して申請することが多いようです。ここで、もし審査に時間がかかると、サイト所有者から何度も進捗を聞かれたり、発行先に連絡しても認証局から連絡がないとい言われるということを繰り返します。両者の間に入ると、時間やお金というよりは、気苦労でエネルギーを消費します。
そのため、Joe’sでは2011年3月28日から、ベリサイン、ジオトラスト、ComodoEVSSLの登記謄本に関しては、申請者(お客様)に依頼しないで、(実費も含めて)無料で代行して申請し、認証局に提出することになりました。結果的に、発行までの日数が短縮され、お客様の負担を和らげることができたものと自負しています。
2011年3月22日(火)Newsletter -
SSL市場はベイサインの認証を受けている(EV証明書)
SSL証明書には、サイトに入力情報を暗号化して送る機能の他に、そのサイトの所有者が正当であることを認識する機能があります。その様な機能が無い場合、外部の第三者がjoes-joes.netやjoes-virtual.jpのようなドメイン名を取得して、サーバー代金支払い窓口になったり、カード番号を盗むなどの不正を働く事が可能となります。これは、ネットワーク上におけるオレオレ詐欺に相当します。それを防ぐのが、SSL証明書です。http://ではなくhttps://で始まるURL(
https://www.joes-ssl.com のようにグリーンで表示されるものもあります)を見たことがあるでしょう。このSSL証明書は、ベリサインやグローバルサインといった認証局に登記簿などを提出して発行してもらいます(ドメインのwhois情報だけで確認する場合もあります)。
ブラウザは、メジャーな認証局の情報は抑えていて、サイトの証明書が本物の認証局によって署名されたものかどうかチェックします(認証局をでっち上げる詐欺もあるからです)。認証局の情報が、ブラウザにないと、上のような表示がなされます。
新しい証明書であれば、古いブラウザにはまだその情報が入っていないかもしれません。その場合でもユーザがブラウザをバージョンアップする事で問題は解消されます。しかしながら、携帯サイトにおいては問題はそう単純ではありません。携帯電話に搭載されているブラウザは利用者側で簡単にはバージョンアップができないからです。そのため、SSL証明書は携帯サイトへの対応率がどの程度あるかということが重要になってきます。
2010年問題とは、米国政府から暗号の強度に関する通達で、特にRSAという公開鍵暗号は従来の1024ビットから2048ビットに強化すべしということになっています。忠実に守られると、1024ビットの証明書を主に販売していたベリサインは認証局のレベルからの変更が必要で、携帯サイトへの対応が難しくなります。ただ、交渉の結果、2013年までに2048ビットに変更すればよくなりました。ベリサインの3年物は、2012年1月からは2年物の1024ビットが、2013年1月からは2048ビットが廃止になります。しかし、携帯電話は買替えに、通常3-5年程度かかります。
ベリサインが対応できなくても、ご安心ください。Joe’s SSL市場は、以前からベリサインと並んで携帯サイトへの高い対応率を誇る(2048ビットも)サイバートラスト、セコムトラスト、この他グローバルサイン、ジオトラスト、コモド、アルファSSLの全部で7ブランドを揃えています。それも国内で最もお安く販売しています。コンサルティング的なご相談にも対応しています。
2011年3月7日(月)鈴木 禎子 -
Joe’s SSL市場と
レンタルサーバーのサイトで、セコムトラスト証明書(年間57750円)を、本年度無料(3月末までのお申し込み分, 先着30枚まで)で提供します。他社でセコムトラストをすでに利用していて、今回2年目以降になる場合にも適用されます。セコムトラストは原則5年契約ですが、単年度での解約も可能です。
2010年12月27日(月)鈴木 禎子 -
SSL証明書のセコムトラスト、サイバートラストを、かなり安く提供させていただくことになりました(それぞれ、初年度の価格)。この価格は、業界でも初めてだと思います。弊社ではこれまでもべりサイン証明書を39,900円で提供してきました。
そもそも、SSL証明書の原価はさほど高くはないものです。弊社では、販路を分析し、また社内業務を合理化することによって、SSL証明書を安く大量に販売しています。詳細は、Joe’s SSL市場のサイトをご覧ください(https://www.joes-ssl.com/)。また、今月24日にプレスリリースとして発表しています。
.png)
.png)
