web-dev-qa-db-ja.com

自分の自己署名SSL証明書を信頼するにはどうすればよいですか?

ウェブメールを送信したいドメインがあり、安全にしたいと思っています。このサイトを使用しているのは私だけですが、それでも安全にしたいと思っています。

私には余裕がなく、証明書に署名するためにCAに支払うのは理に適っていないと思います。

現在、SSLで自己署名証明書を使用していますが、それで十分かどうかを知りたいです。

誰かが私の証明書と同じ情報で自己署名証明書を生成した場合、シリアル番号などを覚える以外に、私が知る方法はありますか?

securityweb-serversslssl-certificateopenssl
4
user47587

独自の認証局から生成された独自の証明書を作成する場合は、そのCAを信頼するように選択したブラウザーを構成できます。そうすれば、そのCAから作成した証明書が信頼されます。あなたと同じ情報で証明書を作成するランダムな人は、その証明書がCAによって署名されないので、ブラウザにSSL検証失敗エラーをスローさせる必要がありますあなたは信じる。

4
sysadmin1138

ドメインを使用するのがあなただけの場合は、自己署名証明書で十分です。独自の証明書を作成するということは、独自のCA秘密鍵を生成することを意味します。この秘密鍵を安全に保つことができる限り、証明書を偽造する人を心配する必要はありません。この秘密鍵がないと、誰もが同じ公開鍵で証明書を生成することは不可能であり、公開鍵を比較することでそれを知ることができます。

2
ultrasawblade

CA公開鍵ファイルをメモリースティックに保存して、使用している任意のブラウザにインポートできます。

このファイルは、Web上の覚えやすいアドレスにある可能性もあります。

CACert( http://www.cacert.org/ )への参加を検討するのは時間の価値があるので、複数の用途で心配する必要があるCAは1つだけです。

2
DerekB

独自の認証局になることにより、証明書の署名を作成して証明書に信頼性を提供します。これは、秘密鍵を介して署名する署名を介して行われます。次に、公開鍵を使用して、署名が実際に秘密鍵によって署名されていることを確認します。

CA(あなた)だけがプライベートを知っているので、CAが証明書を検証し、それが認証されていることを信頼します。 CAを信頼するには、CAの証明書(公開鍵を含む)を信頼のリングにインストールします。通常、Windowsでは、証明書ファイルをダブルクリックして、信頼するかどうかを確認します。 Firefoxでは、オプションの[証明書]領域に追加することで実行されます。

上記の鍵は、信頼の輪の他のCAが署名に署名する可能性がないことを確認することです。これが、CAがドメインの証明書に署名する前にドメインの所有者を確認する理由です。

パブリック/プライベートを含む暗号化の詳細について詳しく知りたい場合:

http://www.pgpi.org/doc/pgpintro/

このテーマに関するすばらしい本は、Applied Cryptographyです。はるかに単純な本はCryptographyDecryptedです。

0
Rob Olmos