オレオレ証明書

このタグでブログを書く

言葉の解説

ネットで話題

オレオレ証明書

(コンピュータ)

【おれおれしょうめいしょ】

1. SSL等のPKIにおいてクライアント側で検証できない(認証パスを辿れない)サーバ証明書。
2. 1 のうち特に不適切な場面で使われるもの。

「クライアント側で検証できない」とは

SSL通信を行うサーバは、見知らぬクライアントから暗号化されたデータを受け取るために、データの通信を始める前にクライアントに暗号化のための鍵を送る。

しかし、盗聴者*1が通信に割り込んでこの鍵を入れ替えてしまうとクライアントが暗号化してサーバに送信したデータは盗聴者に丸見えになってしまう。

そこでサーバは「サーバ証明書」という形でクライアントに鍵を送る。サーバ証明書は「信頼できる認証機関」が電子署名を施した鍵のことで、クライアントは誰が誰の鍵に署名したかを検証することで、その鍵が確かに自分が通信しようとしているサーバの鍵であることを確認できる(電子署名の偽造はまず不可能だから)。

「信頼できる認証機関」というのは通常はウェブブラウザが知っている(ブラウザの製造元が信頼している)認証機関のことであり、ウェブブラウザは自分の知らない認証機関が署名したサーバ証明書が送られてくると、信頼性を検証できないという警告を出す。そのような証明書は通信に割り込んだ盗聴者が偽造したものと区別がつかないからである。

このような証明書が(広義の)「オレオレ証明書」である。

「不適切な場面」とは

「SSLで暗号化されているので安全です」と主張する一方で「オレオレ証明書」を送るサーバがある。そのままでは安全ではないのでブラウザが警告を出すのだが、サーバの管理者が、この警告を無視すること、あるいはブラウザの設定で警告を回避する(証明書を信頼できるものとして設定してしまう)ことを推奨している場合がある。

信頼の根拠が発行者の自己申告以外にない「オレオレ証明書」をそのまま信頼せよという主張は、「オレオレ詐欺」の犯人が「オレだよオレ」などといって祖父母に自分を孫だと信用させるようなもので、詐欺同然と言っていい。

このような「オレオレ証明書」の使い方は盗聴される危険があるだけでなく、本来注意すべき警告を無視してしまう悪い習慣を助長するという社会的な悪影響を及ぼす可能性がある。

高木浩光氏によるオレオレ証明書の分類

第一種オレオレ証明書

不特定多数に利用させることを想定していて、ルート証明書もサーバ証明書もインストールさせるつもりのないもの。

第二種オレオレ証明書

不特定多数に利用させることを想定していて、ルート証明書かサーバ証明書をインストールするよう促しているが、インストール方法として安全な手段が用意されていないもの。

第三種オレオレ証明書

不特定多数に利用させることを想定していて、ルート証明書かサーバ証明書をインストールするよう促しており、安全なインストール方法が用意されているもの。

第四種オレオレ証明書

特定の者だけに利用させることを想定しているもの。

第五種オレオレ証明書

正規の認証局から取得したサーバ証明書であるが、一部のクライアントでその認証局がルートとして登録されていないもの。

第六種オレオレ証明書

正規の認証局から取得したサーバ証明書であるが、使い方を誤っているもの。（中間認証局から取得したサーバ証明書なのに、中間認証局の証明書をサーバに設置していないために、クライアントが認証パスを検証できないもの。あるいは、サーバ証明書のホスト名と実際に使用するサーバのホスト名が一致していないものなど。）

オレオレ証明書の区分第三版

*1:ただ聴くだけではなく偽のデータを送るなど攻撃的なふるまいをする。いわゆる能動的盗聴者。

このタグの解説について

この解説文は、すでに終了したサービス「はてなキーワード」内で有志のユーザーが作成・編集した内容に基づいています。その正確性や網羅性をはてなが保証するものではありません。問題のある記述を発見した場合には、お問い合わせフォームよりご連絡ください。

✍️blog•1年前

そろそろオレオレ証明書の作り方を覚えたい

これまでおそらく１万回以上はググっているだろうオレオレ証明書の作成方法をまとめておきます。この手の解説記事は五万とありますが、自分向けの備忘録として残します。前提秘密鍵の作成証明書署名要求(CSR)の作成証明書の作成証明書の確認前提 Windows 11 OpenSSL v3.1.1 秘密鍵の作成 openssl genrsa -out private_key.pem {ビット数} 証明書署名要求(CSR)の作成 openssl req -new -key private_key.pem -out csr.pem 以下のような質問を聞かれますが何も入力せずスルーします。 Coun…

#OpenSSL#オレオレ証明書#自己証明書

ネットで話題

817ブックマークオレオレ証明書を使い続ける上場企業をまとめてみた - megamouthの葬列

www.megamouth.info

402ブックマークオレオレ証明書をopensslで作る（詳細版） - ろば電子が詰まつてゐる

ozuma.hatenablog.jp

85ブックマーク高木浩光＠自宅の日記 - 新型myloのオレオレ証明書を検出しない脆弱性がどれだけ危険か自己署名の証明書になっていた。これは明らかにセキュリティ脆弱性だ。この種類の脆弱性（ブラウザが証明書を検証しない）は、伏せておくよりも早く事実を公表して利用者に注意を促した方がよいという考え方もあり、すぐに日記に書こうかとも考えたが、このケースではIPA、JPCERT/CCを通した方が修正が早く行われるので...

takagi-hiromitsu.jp

75ブックマークオレオレ証明書を使いたがる人を例を用いて説得する - Qiita

qiita.com

58ブックマーク【図解】よく分かるデジタル証明書(SSL証明書)の仕組み〜https通信フロー,発行手順,CSR,自己署名(オレオレ)証明書,ルート証明書,中間証明書の必要性や扱いについて〜

milestone-of-se.nesuke.com

56ブックマークオレオレ証明書とはコンピュータの人気・最新記事を集めました - はてな

d.hatena.ne.jp

52ブックマーク高木浩光＠自宅の日記 - オレオレ証明書の区分改訂版 ■ オレオレ証明書の区分改訂版はてなキーワードに「オレオレ証明書」の項目ができていた。ここにある冒頭の「(特にPKI上不適切な場面で使われる)自己署名証明書。」という定義は私の定義とは異なる。自己署名とは限らないし、不適切な場面とも限らないからだ。そのためその下にある第一種〜第五種の区分の記述と矛...

takagi-hiromitsu.jp

51ブックマーク OpenSSL でオレオレ証明書を手っ取り早く作成する方法 - WebOS Goodies 先日、とある理由で SSL の動作テストのためのオレオレ証明書が必要になったので、作り方を調べてみました。基本的にインフラ部分は他人におまかせなことが多いので、これまでやったことなかったんですよね (^^ゞで、ググったりして調べたのですが、たいてい OpenSSL の設定を書き換えが必要で、少し面倒な手順ばかり。...

webos-goodies.jp

45ブックマーク高木浩光＠自宅の日記 - 第六種オレオレ証明書が今後増加するおそれ, 訂正（15日）■ 第六種オレオレ証明書が今後増加するおそれリンク元を辿ったところ、東京証券取引所の「適時開示情報閲覧サービス」のサイトと、民主党のご意見送信フォームの送信先サーバ*1でオレオレ証明書が使われているという話を立て続けに見かけた。無知な鯖管, 別館「S3日記」, 2007年12月9日民主党のSSL証明書が不正な件, ...

takagi-hiromitsu.jp

関連ブログ

たれながし.info•1年前

PowerShellでオレオレ証明書を作成する

目的オレオレ証明書の作成 TLSサーバー証明書の作成コードサイニング証明書の作成秘密鍵と証明書のエクスポート目的 PowerShellの「New-SelfSignedCertificate」で、「オレオレ証明書（自己署名証明書）」を作成できます。learn.microsoft.com オレオレ証明書の作成作成する証明書のタイプは「-Type」で指定します。下記5つから選択が可能です。 SSLServerAuthentication CodeSigningCert DocumentEncryptionCert DocumentEncryptionCertLegacyCsp Custom…

#PowerShell#オレオレ証明書

index.php•1年前

Dockerの開発環境を自己証明書でSSL対応する

前提 Dockerイメージにはphp-apacheを使用ディレクトリ構成 . ├── docker/ │ ├── Dockerfile │ ├── apache2/ │ │ └── sites-available/ │ └── ssl/ └── docker-compose.yml 証明書の作成作成前に秘密鍵たちを格納しておくディレクトリを作っておく $ mkdir docker/ssl $ cd docker/ssl 1. 秘密鍵の作成 $ openssl genrsa -out server.key 2048 2. CSRファイルの作成 Common Nameにlocalhostを指定…

#Docker#オレオレ証明書#自己証明書#開発#開発環境

永遠のプログラマ☆•2年前

SAN付きオレオレ証明書の作成☆

こんにちは。ワクチン3回目。ミッションコンプリート。さて、会社のWEBテストサーバー。 Chrome でサイト表示。 Chromeでオレオレ証明書この接続ではプライバシーが保護されませんredbull では、悪意のあるユーザーによって、パスワード、メッセージ、クレジットカードなどの情報が盗まれる可能性があります。NET::ERR_CERT_AUTHORITY_INVALID オレオレ証明書の貧乏くさいレッドマーク。クライアントPCに [信頼されたルート証明機関]に作成したオレオレ証明書をインポート。すればOKだが、いちいち証明書ごとにやるのは面倒。複数サイトを証明する SA…

#オレオレ証明書#SAN

tomozo6 blog•11日前

リモートワークをしている開発者のIPを固定化するためにAWS Client VPNを構築してみた

私が担当しているプロダクトの検証環境はIP制限をしています。更にはその前段に、全プロダクト共通の認証基盤があり、認証基盤の検証環境も同様にIP制限がされている状態です。開発者が検証環境にアクセスできるように全社VPNのIPはもちろん許可していますが、全社VPNの回線が弱い当プロダクトはPWAもあるので、スマートフォンからもアクセスする必要があるが、スマホに全社VPNを導入できないという問題があるため、開発者の自宅IPも許可しているのが現状です。この運用には下記のような課題があり、今回これらを解決したいと思います。 IP許可設定の運用負荷が高い。開発者の増減や、自宅のルーター再起動・PC…

zaki work log•1ヶ月前

オフライン環境へのK3sインストール

いろんなものを業務でオフライン動作させてきた身としては一度はやっておきたかったインターネット接続の無いオフライン環境へのインストールお試し。 K3sは軽量Kubernetesとして様々な環境で動作するのが特徴の一つで、インターネット接続の無い環境でもAir-Gap Installとしてドキュメントに手順が載っているので、比較的(過去に実施したOCP3.x/4.xとかに比べれば…)容易に構築可能。 docs.k3s.io 構成イメージの準備プライベートレジストリのリダイレクト設定インストールスクリプトの配置実行バイナリの配置インストール httpdのデプロイお試しオフラインの仲間たち…

@kyanny's blog•2ヶ月前

プロキシサーバーの分類

色々分かってなかったが同僚に詳しく教えてもらって理解が進んだ。通常のプロキシ or MITM プロキシ透過型プロキシ or 明示型プロキシ http proxy or https proxy という三つの直交した分類がある。 1. 普通のプロキシ or MITM プロキシ普通のプロキシ = クライアント <-> 接続先サーバーのリクエスト/レスポンスの中身を覗かず弄らず、そのまま渡す。プロキシサーバーは土管。便宜上「パススルー型」とでも呼びたいが、どうも一般的な呼称ではなさそう。【図解】httpプロキシサーバの仕組み(http GET/https CONNECTメソッド)や必要性・役割…

kdnakt blog•2ヶ月前

今週気になったTLS関連のニュース

2024年2月12日～2024年2月18日に読んだ中で気になったニュースとメモ書きです。社内勉強会TLSらじお第144回分。 [DNSSECの脆弱性KeyTrap] [Merkle Tree証明書の実装] [その他のニュース] ▼Web PKIマーケットシェア（2024年2月） ▼Node.jsのセキュリティアップデート（2024年2月） ▼AWS API GatewayのTLS1.3サポート ▼耐量子暗号アライアンス ▼ChatGPT + RFC ▼Let's Encryptのデイリー証明書発行数（2024年2月） ▼Goでオレオレ証明書 ▼HPKEの応用動向 [暗認本：43 HTTP/3]…

IshikawaJohn’s blog•3ヶ月前

サーバー証明書とは

概要 -サーバー証明書とは- 別名「SSL/TLS証明書」大きな役割は2つ通信の暗号化 Webサイトの運営者・運営組織の実在証明「認証局 (CA: Certificate)」と呼ばれる組織が発行するサーバー証明書の種類 Domain Validation (DV) 証明書証明書の申請者が「ドメイン名の管理者」であることを確認する比較的手軽に発行できるが、組織を認証しているわけではないためWebページを表示するときに組織名が表示されないつまり、似たドメイン名でも申請すれば発行してもらうことができ、フィッシング詐欺などに利用される恐れあり Organization Validatio…

Naughty1029のブログ•3ヶ月前

PostmanとOWASP ZAPによるAPIセキュリティテスト

APIテスト自動化ツールとしてOWASP ZAPを利用し、脆弱性診断の方法からレポート生成までの手順を記載します。今回の方法では、PostmanのリクエストをOWASP Zapに送ることで脆弱性診断を実施しています。 Postmanを利用することができるので、既存のコレクションの使い回しをすることができます。前提条件 PostmanとOWASP Zapがインストールされていることインストールされていない方は下記リンクからインストールしてください。 ZAP Postman 手順概要 OWASP Zapの設定をする Postmanの設定をする PostmanでAPIをOWASP Zapに登録…

Stand Up and Shout!•4ヶ月前

サイバー攻撃から企業システムを守る!osint実践ガイド

2023年12月15日に『サイバー攻撃から企業システムを守る!osint実践ガイド』が出版されました。サイバー攻撃から企業システムを守る！ OSINT実践ガイド作者:面和毅,中村行宏日経BPAmazon マインドマップによる整理（TBD）目次の俯瞰サイバー攻撃から企業システムを守る! OSINT実践ガイドはじめに本書のサポートサイト免責事項 Chapter1 OSINTの基礎インテリジェンスの歴史を紐解きデジタルOSINTの基礎を理解する 1.1 インテリジェンス 1.1.1 ｢インテリジェンス」とは 1.1.2 「データ」「情報」｢インテリジェンス」の関係 1.1.3 …

alphajinseiのブログ•4ヶ月前

Certified Kubernetes Administrator (CKA) with Practice Tests 勉強メモ

2CoreConcepts cluster architecture master 情報の集積：etcd cluster key-value型でいろんな情報が記載されている worker shipにコンテナを置く：kube-scheduler workerノードにコンテナを置く。どのノードにコンテナを置くか。各リソースに対する管理部隊 XX-controller node-controller replication controller controller-manager kube-apiserver : クラスタ内の通信管理者向けAPI workerとmasterが相互に通信できる…

プログラマーのメモ書き•5ヶ月前

VSCode Live Server Extention を kintone で使ってみました

数年ぶりに kintone での開発をすることになりました。で、久しぶりに思い出しながら、あれこれ触ってると、 Javascript カスタマイズを VSCode で効率的に開発できるということに気づきました。以前、触ってた時はこんなのあったかな？と思いつつも、せっかくなので利用してみることにしました。ちなみに、 kintone の利用開始日を確認したら、 2019/4/18 で、この記事が 2019/4/8 に書かれているようです。 VSCode 使うようになってきたの結構最近なので、当時は、記事はあったけど気が付いていなかったというオチのようです。 VSCode に Live Serv…

ITエンジニアの成長ブログ•5ヶ月前

WindowsのTomcatでSSLを有効化する

やったことないからやってみようか、くらいの気持ちで、今回はWindowsにインストールしたTomcatでSSLを有効化してみたいと思います。Apache Httpサーバーは無しで、あくまでTomcat単体で実現してみたいと思います。また、ローカルでの簡単な検証ですのでSSLはオレオレ証明書を使いたいと思います。検証するバージョンや環境 Tomcatのバージョンは、「8.5.58」です。 JDKのバージョンは、「jdk1.8.0_261」です。 Windows OSは、Windows 11 Proです。キーペアを作成する JDKに付属している「keytool」というツールでキーペアと証明書…

NRIネットコムBlog•5ヶ月前

NLBを使ってターゲットコンテナでクライアント認証させる方法

本記事は【コンテナウィーク】 2日目の記事です。 💻 1日目 ▶▶ 本記事 ▶▶ 3日目 📱 始めまして、堀と申します。2022年4月にキャリアでネットコムに入社して、約1年半AWSをメインにインフラの開発・保守・運用をしています。今回は業務で行ったNLBを使ってターゲットのNginxコンテナでクライアント認証させる方法を紹介します。構成構成図はこちらです。非常にシンプルですね。流れとしては下記になります。 NLBにリクエストを投げる。リクエストがNLBを通過しそのままNginxを起動しているFargateコンテナに到達し、クライアント認証する。今回の要件としてはロードバランサで…

nozakitakahirokunのブログ•7ヶ月前

CognitoとALBの連携検証

目的・やりたいこと Cognito検証環境でALB＋Cognito構築し、ALB配下のEC2で作成したWebサイトを見に行くときに、Cognito認証＋MFA認証ができるようにする対象者 WebサイトにCognito認証を掛けてセキュリティを向上させたいケース対象となる技術 Cognito ALB MFA 条件（導入にあたって前提事項） Webサイトは構築済み HTTPSページもオレオレ証明書を使って構築済み（Cognitoのユーザー認証はHTTPSリスナーでのみサポートされているため、HTTPS化は必須）ドメイン取得済み（CognitoドメインやACM証明書を作成するときに使います） …

kdnakt blog•7ヶ月前

今週気になったTLS関連のニュース

2023年9月25日～2023年10月1日に読んだ中で気になったニュースとメモ書き（TLSらじお*1第125回の原稿）です。全文を公開している投銭スタイルです。 [ドコモ口座のドメイン失効] [Firefoxのアドレスバー変更] [Bulletproof TLS Newsletter #105] [その他のニュース] ▼Chrome 117 ▼QUIC in Space ▼qpackバージョンネゴシエーション ▼AWS WAF meets JA3 ▼Nginxの再起動なし証明書ローテ ▼証明書有効期限短縮問題とGlobalSignのコメント ▼エジプトでの中間者攻撃 ▼Let's Encryp…

駄文。•7ヶ月前

vcenterに入れなくなったので証明書を入れ替えた。

vCenterを開くとオレオレ証明書でブラウザがうるさく注意してくるので、Let's Encryptでちゃんとしたサーバ証明書をいれて運用し始めていた。かれこれ、3ヶ月うまく行っていたのだが。そう、皆様のご予想通りLet’s Encryptの証明書の有効期限がつい先程きれたのだ。となるとブラウザが証明書期限切れでアクセスできなくなってしまったのだ。オレオレ証明書の場合にはいくつか操作すればvCenterの画面に辿り着けていたのだが今回はどうやっても遷移できないのだ。 vCenterにログインできない＝ GUIで更新できないちょっと面倒だとは思ったが、以前調べたとき*1にCUIで…

小さなことからこつこつと。•8ヶ月前

【環境構築】Laravel × Docker × Apache かつローカルでSSL通信する

もくじ環境最終的なディレクトリ構成 Laravelをインストール（A）ファイル作成自己署名証明書を準備 1. server.key（秘密鍵）の作成（B） 2. server.csr（公開鍵＋認証局での署名に必要な情報）の作成（C） 3. server.crt（サーバ証明書）の作成（D） 4. パスフレーズを削除（E） 5. 証明書を「常に信頼する」 6. Chrome 再起動 Docker ビルドして起動うまくいかないときは停止して再構築さいごに参考URL