2010-03-05
SSL対応のコンテンツを作成する際の注意点
https:// で始まるURLにアクセスした際に、以下のメッセージが表示されることがあります。
- FireFox の場合
SSL暗号で保護されてるコンテンツと、保護されていないコンテンツが
同一の画面で表示するときの警告メッセージとなります。
原因としては次のような場合があげられます。
【原因】
- フレームを利用したページ構成で、フレームの一部に非SSLのページを呼び出している
- 画像、CSS、JavaScriptなどのファイルを「http」で始まるURLで参照している
- 非SSLへのページリンクを設定している
【解決方法】
このような警告メッセージがウェブサイトの離脱率を非常に高めるという
報告があがっていますので、管理されているウェブサイトを今一度ご確認ください。
2010-01-22
今年は「暗号の2010年問題」の年です。
暗号の2010年問題とは
暗号化とは、暗号化されていないデータ(平文という)を特定のアルゴリズムを用いて、
意味を持たない文字列に変換することで、第三者に盗聴されても、
解読されないための技術です。
現在、SSLサーバ証明書などで主に使用されている1024ビットRSA暗号は、
1024ビット合成数の素因数分解が困難なことを利用した暗号化方法で、
その計算時間に多大な時間を要することで、現実的な時間で解読できない
ことで安全性を確保しています。
但し、この安全性はコンピュータの処理能力や技術が向上するにつれ、
暗号解読の技術も進化するため、年々、暗号化の安全性も低下します。
先日、768ビットのRSA暗号が国内の研究機関で分解に成功しました。
1024ビットのRSA暗号が解読されるには、
まだ数年の時間が必要とされていますが、米国政府が2010年までに1024ビットの
RSA暗号など暗号強度の低い技術を廃止し、より安全な暗号化技術に
切り替えることが発表されました。
今後の暗号化技術
暗号化の方法には様々な種類があります。
暗号化の歴史は古く、その多くが軍事利用を目的とし、
様々な暗号化技術が開発されては、解読者に解読され、
また、新たな暗号技術が誕生してきました。
第一次世界大戦を「化学」の戦争とするならば、第二次世界大戦は「物理」の戦争、
第三次世界大戦があるとするならば「数学(情報)」の戦争と言われています。
1024ビットのRSA暗号も時間の問題で解読されてしまいます。
なるべく1024ビットよりも安全な2048ビットの公開鍵長に対応した
ブリッジSSL/CSR生成(2048bitのCSRを生成して頂くことができます)
なお、最新技術として、量子コンピュータや量子暗号の開発が多方面で進められ、
米国の有名な機関では開発に成功しているという話が囁かれています。
このような技術開発が進んでいく(もしくは素因数分解の公式が見つかれば!)につれて、
RSA暗号も新しい技術を取り入れた他の暗号化技術に置き換えられ、
ウェブサイトもより堅牢な方法で安全を確保されていくと思います。
2010-01-17
SSLサーバ証明書の申請から発行までが分かる6つの手順
1.申請の準備
【ドメイン認証】
以下の2点を事前に準備して頂く必要があります。
- 秘密鍵、CSR : 秘密鍵とCSRを30秒で簡単生成(Apache編)
- 承認メール受信用のメールアドレス : 承認メール受信用のメールアドレスとは
【企業認証】
以下の3点を事前に準備して頂く必要があります。
各種書類については申請条件により異なる場合があります。
2.お申込み
ブリッジSSLでは貴社Webサイトに最適なSSLサーバ証明書をご提供できます。
3.CSRのご連絡
CSRをご連絡して頂きます。
-----BEGIN CERTIFICATE REQUEST----- から -----END CERTIFICATE REQUEST----- までを
コピー&ペーストでご連絡ください。
※CSRと併せて承認要請メールアドレスをご連絡して頂く場合があります。
4.お支払い
指定の振込方法で商品金額をお振込みください。
5.審査、承認確認
認証機関がSSLサーバ証明書発行のために必要な要素の確認を行い、
※認証機関によって審査の方法は異なります
VeriSign:認証方法の違いによる役割と活用場面(企業の実在性認証とオンライン認証)
6.証明書発行、証明書のインストール
認証機関より証明書が発行されましたら、SSLサーバ証明書が記載されたメールが届きます。
SSLサーバ証明書と秘密鍵(および中間証明書)をサーバにインストールしてください。
2010-01-15
承認メール受信用のメールアドレスとは
ドメイン認証では書類申請が不要なオンライン申請を採用しておりメールにて本人確認をしています。
お申し込み前にドメイン所有者のみが受信可能と想定されるメールアドレス(admin、root@等の
メールアドレス、もしくはWhoisに記載のあるメールアドレス)をご準備ください。
管理者として想定されるメールアドレス
承認メールアドレスとして選択できるのは、以下のメールアドレスです。
※コモンネームが example.jp の場合
admin@example.jp
administrator@example.jp
hostmaster@example.jp
webmaster@example.jp
is@example.jp
mis@example.jp
ssladministrator@example.jp
sslwebmaster@example.jp
postmaster@example.jp
Whoisに記載のあるメールアドレス
WHOISに登録されているメールアドレスをご選択いただけます。
JPドメインの場合
「登録担当者」もしくは「技術連絡担当者」の中の「電子メイル」をご確認ください。「通知アドレス」はご利用になれません。
汎用JPドメインの場合
Contact Information : 「公開連絡窓口」の「Email」をご確認ください。
gLTDドメインの場合
Admin Email,Tech Emailに登録されているメールアドレスを確認ください。
2010-01-14
秘密鍵とCSRを30秒で簡単生成(Apache編)
- https://bridge-ssl.jp/csr/ (ブリッジSSL/CSR生成)
ディスティングイッシュネームを入力して頂くことで、
- 秘密鍵について
CSRの作成や、発行されたサーバ証明書の運用に必要となります。
セキュリティ上、最も大切な情報ですので、秘密鍵は必ず厳重に管理する必要があります。
- CSRについて
CSR(証明書署名要求)とは、SSLサーバ証明書取得するために認証局へ提出する署名リクエストです。
CSRのサンプル:
秘密鍵とCSRは正しい組み合わせでなければインストールできません。
必ず秘密鍵とCSRはバックアップを取り、パスフレーズを設定した場合は忘れないよう注意ください。
※パスフレーズについて
パスフレーズを設定した場合は、サーバ再起動時に秘密鍵のパスフレーズを入力が必要になります。
通常は入力の必要はありません。