【認証局】SSLに関するスレ 2枚目【ぼろ儲け】

1 ：2010/10/08 〜 最終レス ：2013/09/24

誰も立てないようなので立てた。
【主な認証局】
VeriSign : http://www.verisign.com/ , http://www.verisign.co.jp/
Thawte : http://www.thawte.com/ , http://www.jp.thawte.com/ (親会社は VeriSign)
CyberTrust: http://www.cybertrust.com/ , http://www.cybertrust.ne.jp/
GeoTrust : http://www.geotrust.com/ , http://www.geotrust.co.jp/ (親会社は VeriSign)
RapidSSL : http://www.rapidssl.com/ (親会社は VeriSign)
Comodo : http://comodo.com/ , http://www.comodojapan.com/
GoDaddy (StarField) : http://www.godaddy.com/
GlobalSign : http://www.globalsign.com/ , http://jp.globalsign.com/
Secure Business Services: http://www.securebusinessservices.com/
セコム : http://www.secomtrust.net/service/ninsyo/forweb.html
StartSSL : http://www.startssl.com/
CAcert.org : http://www.cacert.org/ (※ほとんどのブラウザにルート証明書が含まれていない)

2 ：

デジタル電家.jp
10月リニューアルOPEN!!リニューアルOPENを記念いたしまして
本日液晶TVを6万円から販売しています!!
Googleで『デジタル電家.jp』と検索下さい。
当店のHPやブログが出てきます。

3 ：

全スレ992
rapidの上の方に出てくる3000円のやつは
CNがwww付だったから多分www付で申請してwww無しがおまけでついてきてた。

4 ：

Operaにも対応したから申し込んでみた。＞StartSSL
携帯サイトは面倒で作んないし。
免許証スキャンしたりがちょい面倒だったが、つつがなく認証された。電話かかってきたのにはびびったけど。
$49でワイルドカード証明書が取れるなら安いもの。

5 ：

RapidSSLのライセンス変わったな。複数サーバーにコピーOK
http://www.rapid-ssl.jp/rapidssl-news/archives/41
https://www.slogical.co.jp/ssl/faq/license/

6 ：

RapidSSL代理店 (USD決済)
$10.95/1year
http://www.namecheap.com/learn/other-services/ssl-certificates.asp
http://www.namecheap.com/learn/other-services/ssl-certificate-pricing.asp?pricefor=ssl
$13.95/1year
https://www.servertastic.com/rapidssl/
https://www.servertastic.com/order/rapidssl/

7 ：

前スレ
【認証局】SSLに関するスレ１枚目【ぼろ儲け】
http://hibari.2ch.net/test/read.cgi/mysv/1071339107/

8 ：

StartSSLは無料なのでとても助かってる。
dyndnsでも使えるし。

9 ：

　　　　 　＿＿＿_∩＿∩
　　〜／　　　　　 　 ・　・＼
　　　（　　 　　　　　　 ∀ 　 ）　　＜ぼく、4ゲット君
　　　　＼／＼／＼／＼／

10 ：

前スレの情報拾ってまとめるの面倒で投げ出したｗ
テンプレ化なんてたいそうなこと考えたわけじゃないがめげた。

11 ：

サイバートラストが2011年以降も SureServer を継続して発行
http://japan.internet.com/webtech/20101015/2.html

12 ：

>>10
前スレって埋まるのに7年くらいかかってたし、古い情報も多いからまとめはいらないんじゃないの?

それはさておき、ほとんどの人には無縁だと思うけど、StartSSLって、個人でもコード署名用の
証明書発行してくれるんだね。まだベータ運用みたいだけど。ほか知らないんでちょっとアレっと思った。

13 ：

>>12
ttp://takagi-hiromitsu.jp/diary/20091230.html
このやつ?

14 ：

>>13
それそれ。おー。もう取ってる人もいるんだ。

15 ：

softbankの端末ごとにどの証明書を搭載しているかというような資料を探しています。
docomo,auは公式サイトで見つかったのですが…。
どなたかご存じないですか？

16 ：

せめて一回ぐらいは「携帯 ssl」とかでググれ

17 ：

うーん　それなりに探したつもりではありますが
断片的に「ウチで扱ってる証明書に対応した携帯機種は〜」っていう情報はあっても
端末個別で搭載ルート証明書がわかるような資料は見つかりませんでした。
本来ならキャリアが出すべき資料だと思いますが。

18 ：

「携帯 ssl」でググれば一番上、少なくとも1ページ目に対応状況まとめたサイトが見つかるだろ
しかもそこにsoftbank公式資料へのリンクもあるだろ

19 ：

http://triaez.kaisei.org/~kaoru/ssl/cell.html
ここの事ですか？
ここはもう内容を暗記するほど読みました…。
しかし世代別対応状況はあっても「端末個別」の情報はないですよね？
あとsoftbank公式資料のリンクというのは
http://creation.mb.softbank.jp/web/web_ssl.html
の事でしょうか。
ここも穴があくほど読みましたが、「端末個別」の対応状況は見つかりません。
3.ルート証明書
△：一部端末のみ対応
と書いていますが、その一部というのは具体的に何と何かという事を知りたいのです。

20 ：

それにsoftbankのSSLの仕様が今度大きく変わります。
それにより対応を迫られる携帯サイトも多いのではないでしょうか。
そのような資料を欲しがる人は他にもいそうなものですがネット上ではあまり騒がれてませんね。

21 ：

じゃあ、そこの技術資料のHTTP編ダウンロードしろ

22 ：

成程こんなところに…。
これは気付きませんでした。ありがとうございました。

23 ：

2010年問題に対応させるためにsslの設定変えなきゃ

24 ：

日本の代理店で名前あがってなかったようなので紹介。
更新時期によってはかなりお得。
http://www.ssl-secure.jp/

25 ：

>更新時期によってはかなりお得。
意味が判らない
もう少し具体的に

26 ：

>>24
RapidSSLなら、namecheap.comなんかで$10/年だし、手続きは国内も海外も一緒だから敢えて日本の代理店から買う必要なくね?

27 ：

>>26
それは英語ができない人にとっては大きな違いってことだよ。

28 ：

あと、国内にしか支払えない国の機関とかね

29 ：

なるほど確かに。
って国の機関が、RapidSSL使うのはちょっと...ちゃんと実在証明つきのを使ってﾎｼｽ。^^;

30 ：

>>29
というか、国の機関なら総務省が運営する認証局じゃ・・

31 ：

国の機関と言えるかは微妙だが、仕事先の独立行政法人はVeriSignだった。

32 ：

国の機関と言えるかは微妙だが、仕事先の国立大学の某プロジェクトとか某学科とかはRapidSSL (支払は生協経由)

33 ：

>>32
大学は予算がないから仕方ないｗ

34 ：

upki使えばタダなのに。
仕事先にそういう提案をするのも仕事じゃないのか？
ま、年数千円の問題だけど。

35 ：

ルートや中間証明書のインストールが不要ならupkiも悪くないけどね……

36 ：

質問させてください
一つの証明書購入で、複数のサブドメインに対応させることってできないのでしょうか？
http://docs.komagata.org/2779
1個のIPじゃSSLでネームベースのバーチャルホストが使えない
とあるのですが、なぜ一個のipだとネームベースのが使えないのでしょう？
serveraliasとかでもだめなんでしょうか。
教えていただけると嬉しいです。

37 ：

>>36
元記事の人が無知なだけ。最新の OpenSSL と、これまた最新の Apache/Lighttpd/Ngix だとネームベースで使える。
証明書の方は、ワイルドカード証明書か、マルチドメイン（UCC)証明書を使う。

38 ：

おっと忘れてた。IE6とか古いブラウザは、ネームベースSSLに対応してないからね。

39 ：

おお、そうなんですね。
ありがとうございます！

40 ：

IE6 が対応してないんじゃないよ。XP が対応してないんだよ。
IE8 を使っても XP であればダメ。

41 ：

Ngixってなんだよ、nginxだろ＞俺。orz
>>40
お、そうなんだ。Thanks。まあ、もうXPはいいよね。商売で対応しなくちゃならない人は気の毒だけど。

42 ：

他にsubjectAltNameもあるよ
ワイルドカード、subjectAltNameはXP、IE6、IE8でも利用できるよ

43 ：

>>37
ってよく見たら、元記事は2008年か。だとしたら知らない人がいても不思議はない。

44 ：

安いSSLでAndroidやiPhone等のスマートフォンに対応しているところはありますでしょうか？
Androidに対応していないのを知らずにRapidSSLを5年契約して涙目です

45 ：

エミュレータと実機でRapidSSL(Equifaxのやつ)のURLを確認してみたが証明書エラーは出てないぞ。

46 ：

>>44
ターゲットのバージョンは?

47 ：

>>44
Galaxy S で試してみたけど問題はなかった。

48 ：

>>44
StartSSLのFree CAですら対応してるのに、それはちょっと考えられん。

49 ：

Important RapidSSL Updates
http://blog.servertastic.com/important-rapidssl-updates

RapidSSL now includes re-issuance at no extra cost (servertastic)
http://blog.servertastic.com/rapidssl-now-includes-re-issuance-at-no-extra

50 ：

>>49
今後は中間証明書もインストールせねばならんのか...
いやまあ大した手間じゃないんだけどね。

51 ：

android 端末は 2048bit 証明書だとダメとかなんとか

52 ：

>>51
そんな馬鹿な

53 ：

俺が使ってるRapidSSLのrootって
Equifax Secure Certificate Authority
なんだけど、これってRapidSSL Premiumなのかな？
ノーマルRapidSSLのrootがGeoTrust Global CAになるの？
俺って何故Premiumを選んだんだっけ？

54 ：

>RapidSSL Premium

55 ：

RapidSSLにPremiumなんてあったか？

56 ：

>>55
ない。>>53はQuickSSLと勘違いしてるか、誰かに騙されたかどちらか。

57 ：

completessl.comで毎月1回更新作業をして無料。
2ndレベルも対応しているのが他に見つからなかった。
StartSSLも対応してくれればいいのに。

58 ：

>>57
そうなの? Class 2は対応してるけど。

59 ：

>>58
正確に言うとこんな感じ。
Class1はadmin@example.comでサブドメインでは取得できない。
dyndnsとか使ってると不便で。

60 ：

すいません。ちょっと教えてください。
会社でレンサバにグループウエアをインストールして利用することになりました。
そのサーバは共有SSLがなく、このままだとSSLなしでグループウエアを利用しなければ
いけません。自社で利用しているドメインは他のサーバで利用しており、
このサーバはグループウエア専用で利用する予定です。
この場合、どうしたらPC⇔グループウエア間を暗号化できるでしょうか。
ググってみたんですが、さっぱりです。

61 ：

>>60
サブドメインを割り当てて、SSL証明書を買う。
別のドメインを取得して、SSL証明書を買う。

62 ：

共有サーバでグループウェアって…ファイルで保存するものがあったらアウトな気がするが大丈夫か？

63 ：

まずは専鯖を契約汁。
リモートアクセスしないなら職場に安鯖でもいいや。

64 ：

>>62
スレと全然関係ないけどよ。グループウェアASPの方がまだマシかもな
http://www.topica.ne.jp/cb/
http://www.airnet.jp/cybozu/

今年限りで1024bit EV SSL証明書がなくなることぐらいしか話のネタがないんだよ。
発行者側の問題で俺らが気にすることじゃねえし。

65 ：

>>64
クロスルートの証明書とかは？

66 ：

rapidはwww付きで申し込むと無しのもついてくるのに逆はダメなんだな

67 ：

>>20
来月予定だったのが6月末に延期になったぞ
http://creation.mb.softbank.jp/web/web_ssl.html

68 ：

namecheapって再発行してくれる？

69 ：

>>68
Comodoも、GeoTrust/RapidSSLも、Unlimited Re-Issuance Policyなので大丈夫。
ただしComodoなりGeoTrust/RapidSSLなりのサイトから自分で手続きしなくちゃいけないけど。
VeriSignだけは、発行後30日の間だけみたい。

70 ：

>>68
namecheapのMyAccountで見てみまたけど
statusの右側にReissueってあるので、これを押せば再発行できるみたい。

71 ：

>>70
おお。すっかり便利になってるんだなー。

72 ：

StartSSLって一つのアカウントで複数のドメインの無料証明書とれる？
4個ぐらいあるんだが•••

73 ：

タダなんだからやってみたらいいじゃない

74 ：

StartSSLのサイト重くてちょくちょくタイムアウトっぽくなるな
いつも重い感じ？

75 ：

いま RapidSSL Wildcard の *.example.com の証明書取ってサーバー群で使って、
ノーマル RapidSSL で mobile.example.com の証明書取って携帯専用サーバーで
使おうとしてるんだけど、何か落とし穴あるかな？
ワイルドカードと併用できないとかないよね？

76 ：

>>75
サーバーの設定ミスらなければ大丈夫。

77 ：

>>76
ありがとう。
安心して買えます。

78 ：

thawte SSL123 at over 75% discount https://www.servertastic.com/order/ssl123/
http://twitter.com/servertastic/status/44769567897169920

79 ：

age

80 ：

RapidSSL のルート証明書がいつのまにか変わってて
携帯で読めなくなっとるやん…

81 ：

>>80
ほんまや・・・
中間証明書があったから、変だなあと思ってたｗ

82 ：

クロスルート証明書で、前の Equifax のやつをルート証明書にできるから
互換性に関してはとりあえず問題ないかな。

83 ：

GlobalSign の AlphaSSL Wildcard が、5年で$149って安くね?
ttp://garrisonhost.com/ssl.htm

84 ：

と思ったら、RapidSSLが、2年分で$11ってとこもあった。1年あたり$5.5とは安いにもほどがある。
ttps://www.pesnax.eu/service/cart.php?gid=21
ttp://www.webhostingtalk.com/showthread.php?t=1044745

85 ：

>>82
これかぁ、まぁサーバー設定で済むなら良いか
更新したら私も設定しよう...
http://valuessl.net/news/?p=472

86 ：

Mozillaに於けるMD5署名無効化について
http://www.rapid-ssl.jp/rapidssl-news/archives/47

87 ：

すみません、ちょっとお知恵を拝借したいのですが。
Apacheの1.3でSGCが動作している事を確認出来る方法ってありますか？
ssl_engine_logの記述だとSGCがenabledと一行出てる程度でしか
載っていなかったので・・・

88 ：

ietf.orgの証明書が失効しとる

89 ：

GlobeSSL $8
https://www.globessl.com/

90 ：

GlobalSSL
ルート証明書が AddTrust External CA Root だった。
中間証明書も必要。
携帯対応考えたら、1ドル高いRapidSSLの方がまだ使いやすいね。

91 ：

さあ盛り上がって参りました

92 ：

【セキュリティ終了のお知らせ】日本でSSLサーバ証明書を発行する企業がハッキングされる
http://hatsukari.2ch.net/test/read.cgi/news/1315393139/l50
コモドを攻撃したハッカー、DigiNotarへの攻撃を表明--別の認証機関への攻撃も示唆
http://japan.cnet.com/news/business/35007040/
# Comodoってイギリスの会社じゃなかったっけ？

93 ：

GMOグローバルサイン、SSLサーバー証明書の認証方法に「ページ認証」を追加
http://cloud.watch.impress.co.jp/docs/news/20110826_473129.html

94 ：

おお、こりゃ楽でいいが、穴はないのか

95 ：

アドレスバーが緑になるやつで一番安いのはどれ？

96 ：

>>95
>>84 のGeoTrust EVが、年$169で一番安いかな。eNom のリセラーアカウント持ってたらもっと安くなるけど。
それか、StartSSL。年$199 (EV証明書1枚込み) + $49/証明書あたり。ただし、会計事務所に一筆書いて貰ったり
D-U-N-S ナンバー取得したりで結構面倒。
国内で買うなら…どこが安いんだろね? comodo かな? 年¥75,000だけど。

97 ：

Symantec が、SSL証明書や、PKIなど、Verisign のセキュリティ事業を買収。
ttp://cloud.watch.impress.co.jp/epw/docs/news/20100520_368221.html
これでノートン先生も少しはマシになるんですかねぇ…

98 ：

お前は一体いつの話をしているんだ

99 ：

>>98
え、そんな昔の話なの? うわ、恥ずかし… 証明書のブランド名が変わっただけでした。

100 ：

タダでやりたいんだけど、ブラウザの警告が出ないようにできん？

101 ：

opensslで自分が生成したやつでってこと?

102 ：

ブラウザにオレオレ証明書入れれば？

103 ：

認証局がぼったくりやってるからSSLが普及しないんだと思う。
わざわざブラウザが変なメッセージ出すようになったかと思えば、今度はアドレスバーを緑だと？
安いクイック認証SSLさえ排除するつもりか。

104 ：

>>103
アンチウイルスとウイルスの関係みたいなもんだよ。
要はマッチポンプ。

105 ：

>>100
StartSSL使えば最近は問題ないよ
携帯は駄目だが

106 ：

StartSSLでやってみたけど、もしかしたら失敗したかも。
３回目のメールは来るのかな？
ログインできなくって、認証されたかどうか分からない。

107 ：

やり直したら成功しました。
でも、サブドメインだから、validationできなかったｗ

108 ：

>>96
GeoTrustのEV証明書安くてよさそうだけど、海外のリセラーでも手続は
問題ない？DUNSナンバーは少しお金を払えば取れるみたいだけど。

109 ：

>>108
発行手順自体は日本も海外も変わりはないから大丈夫と言いたいところだけど、肝は何か問題があった時に
自力で対応できるかどうかかな。海外のリセラーって、ただ買えるってだけで実務を代行してくれたりする
わけじゃないからね。

110 ：

>>109
�dクス。
うちは日本語の書類わからないから、全部翻訳して証明つけてくれ、
などと言われたら安い意味がないじゃん、と思って。
$150/yrくらいで緑になるなら(・∀・)ｶｺｲｲ!!ので前向きに考えます。

111 ：

もう少しぐぐってみたよ。
http://www.webcosmoforums.com/vouchers/32779-promo-codes-ev-ssl-certificates-starting-112-50-yr-sslrenewals-com.html
2年で$223
2年で$225
sslmatrix.com 1年$120
matrixってところ、SSL証明書を売るビジネスなのにろくに連絡先も
書いてないし、ここは遠慮したいな。renewalsはよさそう。

112 ：

thesslstore.com
rapidsslonline.com
sslrenewals.com
comodosslstore.com
の4つ（少なくとも）はフロリダ州セントピーターズバーグ（タンパの近く）
のRapid Web Services, LLCの運営だね。こういうビジネスモデルは
よく見かけるけど、サイトをたくさん作ると売上が増えるのかな。
メインはthesslstoreらしい。

113 ：

>>112
いくつか比較して選ぶ
その比較が全部自社の手の内なら……

114 ：

>>113
なるほどそういうことか。
ところでthesslstoreにメールしたら、EVの確認ができなくて証明書が
発行できなければ、またはその他どんな理由でも全額返金するって。

115 ：

行けおやじ.comなら、EV証明書は$99だけど…2年で$150

116 ：

すまん。よく見たら、US, Canada & UK onlyって書いてあった

117 ：

>>116
翻訳が不要なおいしい部分だけ商売にしてるのか。

118 ：

自分の場合だけど、今年の半ばくらいまで、サイトシールがなんのために
あるのか知らなかった。飾りだと思ってた。
認証局の意味を知らなかった。
海外サイトでソートやジオトラストのサイトシールもときどき見たけど、
あれはファッションで、証明書を発行しているのはベリサインだと
思ってた（今は子会社になっちゃったけど）。
そのうちアドレスバーが緑になるサイトをときどき見るようになって
カッコイイと思った。
普通の利用者なんてそんなものじゃないかと。

119 ：

>>118
一般的にはそんなものだと思う。SSLもよくわかってないんじゃないかなと。ただ、緑色だから安全なのかな程度の認識はあると思う。
そのうち、対外的には緑色にならないところは警戒されるようになったりするのかね。

120 ：

板違いなんだけど、国内のレンタルサーバーで、自分が持ってる証明書を
インスコできるところで安いところってどこがあるのかな？

121 ：

それ、証明書だけでなく秘密鍵も向こうに渡すことになるんだけどわかってる？
レンサバ屋の立場からしても、「パスフレーズつきの鍵よこすなクソ客め」てなことが
頻発するのはうれしくないので、対応してるところはまずないと思う。
自分が root になって管理するようなところなら別だが。

122 ：

>>121
なるほど、わかってなかった�d
先週契約した海外鯖だと画面から自動インスコ可能。
またはサポートに連絡すれば無効でインスコしてくれる。
サポートサイトも充実してるし、そういうところは大手はいいな。

123 ：

>>122
Pleskが確か証明書／秘密鍵の自動インスコに対応してたよね。
cPanelは、WHMからインストールなのでサポートにお願いしなくちゃならないけど。

124 ：

StartSSLを申し込んでみました。
開発中のサイトは
http://hogestore.com
がトップページなんだけど、StartSSLだとサブドメインをつけないと
いけないっぽい。無難にsecure.hogestore.comにしておいたけど、
よく調べたらsecure.hogestore.comに専用IPアドレスをもらって、
さらにサブドメイン間でのデータ受渡が必要になるのね。
なんだか面倒そうなので、FreeSSLでhogestore.comの30日有効の
証明書をもらってインスコしてみました。
ちゃんとhttpsになってちょっと感動。

125 ：

>>124
勘違いでした。
StartSSL.comからは
hogestore.com
secure.hogestore.com
の2つのドメインに有効な証明書をもらっていました。
こっちの証明書に入れ替えてもちゃんと動作しました。
クライアント証明書がないとログインできないのがわかってなくて、
保存してなくてログインできなくなりました。まあいいか。

126 ：

>>125
サーバー証明書はQuickSSLもそうだからワイルドカード証明書以外は何処もそうじゃない？
コモンネームで取った証明書を見るとサブネームとしてドメインネームもあるから
ドメインネームだけのWeb証明書やメル鯖のSSL認証としても使えたりするよね。

127 ：

で、sslとか単にsとか短いサブドメインに変えたくなるんですよね。

128 ：

amazon.co.jpは、
トップページ www.amazon.co.jp
SSL https://www.amazon.co.jp
だなあ。
SSL不要のページにhttpsでアクセスすると勝手に外れる。
逆にSSLがつくべきページだと勝手につく。
これってサーバ変数とかを使ってリダイレクトすればいいのかな。

129 ：

>>119
そのうち、アドレスバーが緑色にならないサイトは、
「このサイトは運営者の実在が確認できていないので超危険ですが、
それでも自己責任で継続しますか？」
のダイアログが表示される機能が搭載されるに1票。

130 ：

>>129
EV証明書は実在確認だけじゃないんだけど…実在しておりなおかつ現に事業を営んでいることが証明された法人であることが
取得条件なので、個人が置いてきぼりを食らうような機能は認証局が認めないと思う。

131 ：

２００２の「アルゼンチンvsイングランド」と「決勝」を朝鮮総連を騙し、観戦した少頭劣一族のアミ…立て籠り犯 朝鮮総連 少頭劣一族の真の最終目的は 徳川の財産を全て奪い
日本の芸能人を多数 中国へ拉致し、
あちらで更に監禁し働かせ
自分達家族は優雅に国に土地を買い
自分達の国にし遊んで暮らすつもりだった。
日本の芸能人を色々な奴隷にすると言っていた。日本列島は棄てる。
中国へ帰る家族のみが立て籠り犯だ。
次に狙うのはイタリアだったらしい。
おまぬ〜！
フィリピンの范蘭と西太后の所からモンゴルに逃げた『シバ』の子達だ。

132 ：

認証局が鍵作るときにURL丸漏れなんじゃないの

133 ：

>>132
そのURLに対してしか証明力がないのでそれは問題ないかと。

134 ：

wildcard SSLに興味があります。
ここで紹介されているサイトを巡った結果、wildcard sslはだいたい120ドル/年前後のようです。
しかしここに
ttp://garrisonhost.com/ssl.htm
AlphaSSLというのが45ドルでwildcardを取れるらしいです。
しかしAlphaSSLというのは聞いたことがありません。
ご存知の方がいたら、評判とか信頼性とか気をつけるべき点を教えて下さい。

135 ：

>>134
GlobalSign つまり、GMOグループの安売り証明書ですね。GeoTrust と RapidSSL の関係と同じ。
暗号化さえできればいいけど、オレオレ証明書はイヤ、という向きには問題ないんじゃないでしょうか。

136 ：

>>135
ありがとうございます。
ためしに「Order Wildcard」(購入) ボタンを押したら、へんなページが表示されて購入できなさそう。
今回はやめときます。
さらに調べると、startssl.comではwildcardが2年で$59.90だそうです。
http://www.startssl.com/?app=39
* Wild cards (*.domain.com)
* Multiple domains (DNS Alt Names)
* ....
* Certificates 2 Years valid (730 days)
ケータイ対応が必要ないなら、wildcardではここがいちばん安いのかな。
だれか使ってみた人いませんか。評判を聞きたいです。
ぐぐっても、freeバージョンの情報しかでてこない。

137 ：

>>136
使ってる。昔は、IE(というか、Windows)に対応してないとか不備があったけど、今は問題ない。
提出書類も、免許証（または写真付きの住基カード）とパスポートがあればOK。
申し込んだら本人確認の電話がかかってくるけど、本人が申し込んだのか、住所や名前は正しいかを聞かれるくらい。
一度認証をクリアすると、2年間有効のワイルドカード証明書を350日間作り放題なので、ホント安いです。
それと、実在証明付きになるので、そのへんの安証明書よりは万倍ましかも。サイトシールはちょっとださいですがｗ

138 ：

この世からipv4が消え去って
ipv6ばかりになれば、認証局という仕組みは無くなりますか?

139 ：

>>138
認証局が何を認証しているかよく考えれば、IPv6になったらなくなるかもという考えは浮かばなくなります。

140 ：

>>137
StartSSLってその値段でワイルドカードで本人確認するの？
すごいな。

141 ：

>>137
ありがとうございます！参考になります。
> 申し込んだら本人確認の電話がかかってくるけど、本人が申し込んだのか、住所や名前は正しいかを聞かれるくらい。
これって英語ですか？
> 一度認証をクリアすると、2年間有効のワイルドカード証明書を350日間作り放題なので、ホント安いです。
ここでいう「認証」って、個人のことですよね。ドメインの認証はまた別個に行うということでしょうか。
また複数のドメインに対してワイルドカード証明書がほしいんですが、その場合、ドメインごとに料金がかかりますか？
>実在証明付きになる
証明書に個人名が載ったりするんでしょうか。もしそうならちょっとやだなあ。

142 ：

>>141
英語です。が、相手もわかっててゆっくり喋ってくれるのであんまり心配はいらないですよ。:)
＞ここでいう「認証」って、個人のことですよね。ドメインの認証はまた別個に行うということでしょうか。
ドメインの認証は個人認証が通った後にまたドメイン個別に行います。費用は個人認証にかかるだけで、ドメインの認証、証明書の作成は無料です。
＞証明書に個人名が載ったりするんでしょうか。もしそうならちょっとやだなあ。
いや、そりゃ証明書なんで。^^; むしろどこの何者が運営しているかわからないドメイン証明書の方が問題ではないかと。
氏名と都道府県、市区町村までの住所が証明書に記載されます。

143 ：

>>142
うおー超参考になります。感謝！
> いや、そりゃ証明書なんで。^^; むしろどこの何者が運営しているかわからないドメイン証明書の方が問題ではないかと。
ですよねー。
> 氏名と都道府県、市区町村までの住所が証明書に記載されます。
仕方ないとはいえ、実名と住所がさらされるのは気が引けますね。
whoisでの代行登録みたいなのができればいいんですが。

144 ：

要はドメイン認証の安いワイルドカードがあればいいんじゃないの？

145 ：

>>144
はい、その通りです。
Comodoのwildcardがドメイン認証で、これだとドメインごとにだいたい$99/yearします。
この値段なら払えないこともないんですが、
startsslのほうは2年で$59、かつ142さん情報だとドメインが複数あっても同じ値段なので、
やっぱりstartsslに惹かれますよね。

146 ：

Alpha の $45ワイルドカード証明書だけど、GarisonHost のリンクが更新されてないだけみたい。
↓から購入できそうではあるけど。
ttps://my.garrisonhost.com/cart.php

147 ：

>>146
サンクス！ドメイン認証を選ぶならこっちですね。
$45/year = 3600円/年くらい？これなら手が出せる。

148 ：

エンジョイＳＳＬって年額 1,000円なんだけどだれか使った人いない？
ttp://www.e-ssldirect.com/

149 ：

>>148
使ったことはないが、RapidSSLは大量にまとめ買いすると、証明書あたり年額$8とかになる
（がもちろん商売じゃなければ絶対使い切れないくらい買わされるが）ので、価格はおかしくない。

150 ：

認証局の話じゃなくて申し訳ないのですが、SSLについて教えて下さい。
サイトに接続するときに通信内容を暗号化するとのことですが、
有線LANの場合でも盗聴される危険性はあるのでしょうか？

151 ：

>>150
可能性という意味では十分にある。
有線なら同じネットワーク内でパケットキャプチャを行なえば、通信内容全てを
捕捉することができるので、SSLを使っていなければ何をやったのかまで調べられる。

152 ：

>>151
> 通信内容全てを捕捉することができる
パケットキャプチャやったことある？
今時ネットワークハブはほとんどスイッチングハブだから、自ホスト宛もしくはブロードキャスト以外は
キャプチャできないよ。
もちろん、幹線にネットワークアナライザ繋いだり、ポートミラーリングできるスイッチングハブとかも
あるから、可能性という意味では 0 でないのは確かだけど。

153 ：

>>152
「可能性という意味では」

154 ：

ARPを偽装されればスイッチングハブだろうと無駄。
ARP spoofing でぐぐれば出てくる。たしか前にさくらあたりで実行されてた。

155 ：

>>153
　>>150
　有線LANの場合でも盗聴される危険性はあるのでしょうか？
　>>151
　可能性という意味では十分にある。
　有線なら同じネットワーク内でパケットキャプチャを行なえば、通信内容全てを
　捕捉することができる
「可能性という意味では十分にある」は、>>150 に対するものだと思うけどね。

156 ：

電波以外は盗聴できないと思った理由の方を知りたいわ

157 ：

通信内容は調べられなくとも、どのサイトに行ったかはわかるからなあ。
内部R用ページに行ったことがばれたら…

158 ：

>>157
そんなもん自宅にミラー用のcgi置けば良いだけだろ

159 ：

うちのPCで内部Rすればいいんじゃね

160 ：

めんどくさいなら俺俺ＳＳＬで問題ないだろｗ

161 ：

中間証明書ってなんですか？

162 ：

ggrks

163 ：

生意気な

164 ：

2008R2でLAN内のPCに認証を配布するにはどうしたらいいんですか？

165 ：

ドメインが一番楽

166 ：

startsslって個人認証すると、発行されるの全部class2になるの？
金払って認証だけして、発行するのはclass1のままマルチドメインにしたいんだけど無理なのかな？

167 ：

>>166
金払って認証してもらうのは、Class2 認証のためなんだが、何がしたいの?

168 ：

>>167
いや、マルチドメインの証明書が使いたいんだけど、名前は出したくないんだ。
class2だと名前はいっちゃうじゃない？
だから金払って認証だけして、発行する証明書はドメイン認証のクラス１でマルチにできんかなーと

169 ：

最近はVPSが安くなってるから、自分でSSL証明書取る人も増えそうだね。

170 ：

>>168
あー、なるほど。でも無理じゃないかなー。一応、サポートに聞いてみては?

171 ：

自宅サーバにsslがつけーるのか？

172 ：

つけーない理由がない

173 ：

自宅においてあるけど借り物でroot持ってないサーバとか

174 ：

root持ってなけりゃ80も無理では

175 ：

トレンドマイクロ、電子証明書ビジネスに参入〜1社あたり年間定額、発行無制限
http://internet.watch.impress.co.jp/docs/news/20120618_540957.html

176 ：

>>175
悪くはないけど、geotrustのEVでいいや。

177 ：

nycpwypi

178 ：

すみません、くだらないことなのですが確認させてください。
今HPを作っていてお問い合わせフォームなどお客様の個人情報を
入力してもらうページをSSL通信で暗号化させたいと思っています。
１：SSL証明書は発行した認証局のルート証明書がブラウザに
最初から入っていないとこの証明書は信頼できません等の
エラーメッセージが表示されるのですよね？
２：エラーメッセージが表示されない証明書で
一番安いものはrapid SSL証明書でよろしいでしょうか？
３：CAcert.orgは無料だけどエラーが表示されますよね？
StartCom Certification Authorityは1年だけ無料で
エラーも表示されないのでしょか？
エラーが表示されなく、無料のサービスって他にありますか？
お手数ですが、ご返答いただけたら幸いです。

179 ：

>>178
そもそも使ってるレンタルサーバは自分が使いたいSSL証明書に対応してる？

180 ：

>>178
1.うん
2.知ってる限りrapidが一番多く対応してる
3.される。StartComは対応ブラウザ書いてあるべ？

181 ：

>>179
ご心配、ありがとうございます。対応してることを確認しました。
持ち込みも無料でOKなので安いのを探してます。
>>180
StartComは様々なブラウザに対応してるんですね。
もうひとつ確認させていただきたいのですが、
お問い合わせフォームは
web上でお客様が情報を入力してその後お客様と、自分宛に
メールで情報が届くようになっています。
web上の暗号化はレンタルサーバーの管理画面から
秘密鍵と証明書のファイルをアップすればいいのだと思います。
１：メールの暗号化はメールソフトに同じ証明書を入れれば出来るのでしょうか？
２：StarSSL無料はMultiple Emails (S/MIME)に未対応とのことなので
メールのSSLまでは出来ないということでしょうか？

182 ：

>>181
POP なり IMAP が SSL にのってるんじゃないの、いまどき。

183 ：

>>182
どういうことでしょうか？

184 ：

メールソフトの設定は下記の通りでした。
https://www.verisign.co.jp/ssl/products/pdf/ssl_mail_tech_mail.pdf
web上の暗号化のため取得したSSL証明書を使って出来るみたいですね。
多分レンタルサーバーの管理画面から設定するだけで
webもメールも大丈夫みたいな感じです。
S/MIMEは特定の人たちだけの場合にやり取りするにはいいみたいだけど
不特定多数の人とやり取りする今回の場合は不要のようです。
とりあえずStarSSLを使ってみます。

185 ：

SSL通信の設定を行っています。
レンタルサーバー側が設定を行ってくれるため
言われたとおり　StartComで発行した　秘密鍵　証明書　CA証明書の3点を送りました。
秘密鍵と証明書は下記HPの説明を参考にメモ帳に貼り付け
拡張子をcrtとkeyで保存しました。
http://futuremix.org/2009/02/startssl
CA証明書はインターネットオプション→コンテンツ→証明書→中間証明機関のなかからダウンロードしました。
送らなければいけないCA証明書がどれかわからないので
インターネットオプション→コンテンツ→証明書→信頼されたルート証明機関の中からダウンロードしたものも送りました。
「一致しない秘密鍵/証明書のペア
いくつかのフィールドが空であるか、無効な値が指定されています」
上記エラーが出たそうなんですが、何が問題なのでしょうか？
あとお願いしてから数日経過しているのですが、
設定はそんなに難しいのでしょうか？

186 ：

>>185
CA証明書とは、中間証明書のことでしょうか？
また、証明書はApache用、Windows IIS用、それに加えてmod_ssl用、OpenSSL用とか色色あるけど、
そこはレンタルサーバー会社に確認してサーバーに合う正しい証明書をStartSSLで発行したんでしょうか？
それなら、設定さえ行えば直ぐに使えます。
また、インターネットオプションからダウンロードする証明書は必要ありません。

187 ：

>>186
サーバ会社には
http://futuremix.org/2009/02/startssl　を参考にして取得したと伝えました。
サーバーにあうかわからないけど説明どおりに取得手続きをしたので
記事の通りApache + mod_ssl で HTTPS 通信ができる証明書だと思います。
サーバー会社も記事は見ているのでサーバーに合わないようであれば
言ってくるのではないかと思います。
（契約する前にURLを教えて大丈夫か聞いたときは大丈夫といっていました。）
中間証明書のことだと思います。

188 ：

>>186
確認なのですが、
インターネットオプションからダウンロードする証明書は
中間証明書ではないということでしょうか？
それとも中間証明書自体SSLの設定で不要ということでしょうか？
（レンタルサーバー会社には送ってくれといわれました。）

189 ：

このページでも案内しといたら？
ttps://www.startssl.com/?app=21

190 ：

>>189 で十分だと思うけど、念の為、
$ wget https://www.startssl.com/certs/sub.class1.server.ca.pem
$ wget https://www.startssl.com/certs/ca.pem
の二つを取得するようお願いすれば OK だと思う

191 ：

色々教えていただき、ありがとうございます。
レンタルサーバー会社にページを教えてあげたら
すでに設定済みといわれました。
証明書を取得するときに住所等を登録したのですが、
サーバー会社に住所等を聞かれ
サーバー会社でも登録してみるとのことでした。
SSLの設定ってそんなに難しいのでしょうか？
こちらは証明書と秘密鍵ファイルを提出するだけで
普通は大丈夫なんですよね？
（取得はマニュアルどおりにやっているので間違いはないと思います。）
ここのレンタルサーバーで大丈夫なのだろうかと心配になってしまいました。

192 ：

秘密鍵渡してる時点であんたがだめだと思うが

193 ：

秘密鍵も送ってることで相手側には、送り主が初心者であることがわかって
説明が丁寧になる可能性が、、、無いことも無いかなｗ

194 ：

どこのレンタル鯖使ってるかも書いてくれてないから想像力働かせるしかないし、、、

195 ：

秘密鍵がないと起動できないんだから送らざるを得ないだろうに。
むしろダメなのは客が取得した証明書を預るレン鯖屋の方だ。
まともなレン鯖屋というのはSSL証明書の取得代行までセットでやって
客が自分で取得した証明書は断る。秘密鍵の授受の問題もあるし、
客が同じ証明書で別のサーバを動かしたりするのも防がないといけないから。
そうでない時点で業者もクソ。それを選んだ客もクソ。

196 ：

ここ自宅鯖の板なんだけど。

197 ：

>>195
俺が知ってるところは全部まともじゃないのか。

198 ：

取引先からクロスルート証明書がどーたらこーたらという転送メールがきた。
夏休み中だから休み明けに読むとして、なんだかめんどくさそうだな。

199 ：

sage

200 ：

お前らさっさとrapidsslで一番安いところ教えろ

201 ：

>>200
ここから相談すれば一番安いよ
http://www.rapidssl.com/resell-ssl/index.html

202 ：

まとめ買いじゃね？

203 ：

>>202
出も一番安いよ

204 ：

>>4
あれ？59ドルになってる？ あれ？ 2年になってる？？

205 ：

>>203
１個から買えるとこでお願いします

206 ：

>>205
最初からそう書けks

207 ：

>>206
あ？普通に考えれば小売だろ
お前の頭の中では卸売業者の数>>最終消費者なんだろうな

208 ：

日本円が良いなら1,260円
http://define.jp/ssl/user_data/readme.php
ドルでかつ英語が読めるなら↓でreseller登録すると$11.95くらいだったハズ
http://www.trustico.com/

209 ：

ありがとうございます
日本円の方で申し込みます

210 ：

最初から謙虚に質問すればいいのに

211 ：

>>210
あ？

212 ：

>>200
いくらが希望？

213 ：

あ？
って頭悪いの自分から表現しなくてもいいだろうに。

214 ：

艶っぽくて吐息めいた「あ？」なんだよ

215 ：

あっー！

216 ：

あ"ーあ"ぁーあー;;;;

217 ：

ベリサインのEVのページを見てたけど，
弁護士以外にも税理士公認会計士司法書士行政書士公証人の意見書でも
大丈夫になったんだね。
税理士は日頃から付き合いがあるから楽だな。

218 ：

>>96
D-U-N-S Numberは多くの場合，登記情報から勝手に付番してるみたいで，
当社も例外ではなかったよ。
帝国データバンクのコードもあるから，たぶんこれだけで行けるかな，と
踏んでる。

219 ：

D-U-N-S Numberの登録情報を更新できたから、EV証明書を申し込んでみたけど、
情報更新は日本のデータベースのみで、海外データベースの情報が更新される
までに１ヶ月かかるとか書いてあるサイトがあるorz
急いでるわけでもないし、DNB以外にも確認の方法は定めがあるから、
いいんだけど、どうなるかな。

220 ：

SSL常時接続ってフーンそういうのがあるんだぁと思っていたら身近にアッタ
http://www.hellowork.go.jp

221 ：

>>220
Googleもトップ以下全部SSL接続になるよ。

222 ：

>>220
Japanese Government ApplicationCA
こんなルート証明書があって、ブラウザが対応してたのか。

223 ：

サーバーの証明書チェーンが不完全です。署名者が登録されていません。承認しますか？

224 ：

ってOperaはこうだったけど、Chromeはそのまま通ったわｗ

225 ：

>>221
Geotrust
　+-Google Internet Authority
　　+-*.google.co.jp
だった。自社で証明書を発行できるなら楽だな。

226 ：

お前ら、突っ込みどころはそこじゃない。
>>220
ハローワークが身近なのか。働け。

227 ：

人の出入りが激しくて毎月ハロワ通いです（＞＜）

228 ：

雇う方か

229 ：

ブラック企業だね

230 ：

自転車駐車場を借りるときに勤務先または通学先までの経路を書く欄が
あったから近くのハローワークまでの経路を書いておいた。
読んだ人がハロワ勤務だと思ってくれたかどうかは知らない。

231 ：

経路は平文じゃなくSSL通して書けよ

232 ：

自宅-(専用トンネル)-ハローワーク飯田橋
これでおｋ？

233 ：

EVの審査が進まないから，とりあえずRapidSSLを買って入れてみた。
１年で$9.95
https://www.sslmatrix.com/ssl-brands/rapidssl/rapidssl-certificate
ていうかEVって半分以上は自己満足で実は大して売上に影響ない気がする。
なんとなく俺がやってみたいから申請してるだけで。

234 ：

>>233
影響あるのって銀行とか大手メーカーくらいで中小ならrapidで十分だと思う
一年$9.95って、そこやすくていいね

235 ：

>>234
中小でもEV入れたら大手っぽく見えるからやってみたかったのさｗ

236 ：

>>234
確かに安いんだけど，サイトにもインボイスにも社名も連絡先も書いてない。
結構怖かったけど，使ってるのが2checkoutという決済代行会社で，
2checkoutの機能でpaypalが使えるからそれで払った。
結局sslmatrix.comの正体は不明のまま。
ドメインのwhoisも情報出してないし。なんなんだこれ。
証明書はすぐに発行されて問題なく使えてるけど。

237 ：

>>236
(1次だと所在明かさないとなれないハズだから)代理店の代理店なのかな？
最近１次にはなれないから２次代理店になりたくて英語サイトあさってるんだけど
なかなかそのクラスで卸してくれるとこない

238 ：

>>237
なるほどねえ。
日本のSSL証明書屋って顧客がすごく限られそうだから大変そうに見えるけど，，

239 ：

探せばもっと安いところもあるんだな。
http://www.cheapestssls.com/rapidssl/rapidssl-certificate

240 ：

GmailへのPOP3メールインポートでSSL使用時に正規の証明書を求められるように
なったのがきっかけで、StartSSLの証明書(Class2)を作成しました。
RapidSSLなど通常の証明書よりは高いけど、複数ドメイン運用しているから
ワイルドカードやSAN使えるのは便利です。
StartSSLの証明書のSubjectには、作成したアカウントのメールアドレスが
記載されるという記述をブログで見かけたけど、正確にはドメインのValidateで
使用したアドレス(postmaster@など)になります。
(CSR作成時のO,OU,Subjectなどは無視されます)

241 ：

ついにEV証明書ｷﾀｰ

242 ：

>>241
どこか安いところがあるの? だったら教えてほすい

243 ：

>>242
sslrenewals.comで、geotrustのEVを上の方にあるクーポンで2年で$225で
申し込んだよ。
審査のメールのやりとりは全部日本語で、元が日本語の書類（登記簿謄本
とか）は全部日本語のままで大丈夫だった。ただし、宣誓書みたいなの
は英語でだした。確認の電話も日本語で日本の昼間にかかってきた。
自分だけ英語を理解できれば、書類を全部英訳したりする必要は
ないので結構楽だった。

244 ：

これからEV証明書を取る場合の準備
電話帳に掲載する→１週間ほどで１０４から確認可能になる
職業別電話帳にも掲載する→１〜２ヶ月でｉタウンページから検索可能に
登記上の本店所在地と，実質的な本店所在地を一致させる
定款に英文社名の表記を定める→株主総会，社員総会議事録の整備，新定款作成
D-U-N-S Number検索で自社の情報を調べて，誤りがあれば訂正
ドメインのwhois情報に社名や連絡先を登録しておく
これだけやっておけば，すぐに確認ができて発行されるはず。

245 ：

>>244
TDB, TSRなどの外部信用情報会社の基本情報の情報更新もあるな。
GeoTrustはどっちも見ないはずだけど、いい機会だから更新しておいた。

246 ：

日本企業のD-U-N-Sナンバー管理はTSRじゃなかったっけ

247 ：

>>246
そうそう。
でもTSR企業コードとD-U-N-S Numberは別で，情報もそれぞれ別。
TSR独自で取材している企業はTSR企業コードを持ってる。

248 ：

ワイルドカード型の証明書って、
hoge.jp のほかに www.hoge.jp　ftp.hoge.jp　とかできること書かれてるけど
www.hage.hoge.jp とか、サブドメインの更に下にホスト名かいてもいいの？

249 ：

https の場合はだめ。RFC 2818 Http Over SSL, section 3.1 で
Names may contain the wildcard character * which is considered to
match any single domain name component or component fragment. E.g.,
*.a.com matches foo.a.com but not bar.foo.a.com
となってる。CN の解釈は利用するプロトコルの方で決めることになってるので、
https 以外ならいけるのがあるかもしれない。

250 ：

横からだが参考になった

251 ：

>>249
わかりやすい説明�d

252 ：

>>248
最近は、ワイルドカードとSAN (Subject Alternative Name) の両方を使えるものもあるから、階層深いのは後者で。

253 ：

>>252
さすがにこういうのはだめだよね？
*.*.hoge.jp

254 ：

SAN に *. 使えるのか...
Common Name : *.wikipedia.org
Subject Alternative Names : *.wikipedia.org, wikipedia.org, m.wikipedia.org, *.m.wikipedia.org
*.*. はだめだと思うけど

255 ：

>>254
自分もStartSSLで発行して使ってます。
ところでみんなはまだSHA-1？
この記事みてSHA-256にしてみたよ。
ttps://www.verisign.co.jp/press/2012/pr_20120328.html

256 ：

>>255
ハッシュ関数もそうだが、RSA鍵の長さもな。

257 ：

>>256
そんなにアクセスがあるわけではないけどopenssl speed rsaの
実行結果みて4096ではなく2048にしてしまった。

258 ：

>>255
私もStartSSLです。発行し放題なのでついつい必要のないところまでSSLにしてしまうのが…^^;
SHA-256 + 4096bits だったりします。速度より安全重視?

259 ：

ベリサイン、RSAよりも負荷が軽いECC（楕円曲線暗号）をSSL証明書に採用
http://itpro.nikkeibp.co.jp/article/NEWS/20130214/456308/

260 ：

偉いおじさん、ちょっと教えて下さい
VPSでIPアドレスを１つ持ってて複数のドメインを運営してて
例えば、AAA.comでSSLを使うと　BBB.jpでは認証取れなくなるの？
IPひとつに対して認証は１つ、みたいにどっかで見た気がするので

261 ：

認証って何の認証？
証明書取るのにはIPアドレス関係無いよ。
使用時はIPアドレス1つにSSLドメインは1つだよ、逆引きで一致しないと
警告出るからね。

262 ：

それは運用の仕方による。今はサーバーもブラウザもバーチャルドメインでのSSL運用に対応してるから。スマートシールとかは知らんけど。
詳しくは、バーチャルドメイン+SSLでぐぐれ

263 ：

あ、認証じゃなくて証明書か。
バーチャルホスト使ったテスト用サイトでstartSSLの証明書はセット出来た。
そんで本番用のサイトにrapidSSL申し込んだりしたらIP同じだから問題あるよな？って心配したんだ。
逆引きの件はじっくり調べてみる。
ありがとうございました。

264 ：

証明書取るのにIPとか逆引きとか関係ないよ。
普通にWEBサーバでバーチャルドメインするだけなら今時は普通対応してるから大丈夫。

265 ：

>>262
非対応ブラウザ結構なかったっけ?
切り捨てるつもりならいいけど、出来るだけ多くの人に見て欲しいサイトなら
SSLサイトごとにIPアドレスをつけるのがいいかと

266 ：

IE6くらいだろ? 切り捨てろよ、そんなもん

267 ：

>>266
Android 2.x のブラウザ[32] (Honeycomb for tablets と Ice Cream Sandwich
for phones では対応)
これ結構残ってないかな？

268 ：

IPベースのバーチャルホストが複数のSSL証明書が利用できないのは
FQDNが決まらないとサーバ側がどの証明書つかっていいかわからないが
FQDNが分かるのは複合してからという缶切りは缶詰の中状態なせい。
解決するには
・ポートベース(80,443ポート以外だと接続できないクライアント環境がある)
・SNI(対応してないブラウザが多い)
等がある。
SNI非対応で問題になるのは以下の通り
・IE6(いまさらどうでもいい気がする)
・XPの人(IE8でもXPだとダメ)
・android 2.x系の人
・wii,playstation(どうでもいい)
・ガラケーの大部分(めんどくさいから細かくは調べて無い)
特に問題なのはandroid 2.xで
「2013年1月3日現在のGoogle Play Storeへのアクセス統計によるバージョンごとの世界シェア」で50%以上を締めてる
http://ja.wikipedia.org/wiki/Android#.E3.83.90.E3.83.BC.E3.82.B8.E3.83.A7.E3.83.B3_2
世界中がIPv6対応になる日が先かSNIの普及(古い環境の駆逐)が先かって感じだな

269 ：

CA/Browser ForumのBaseline Requirement 1.0では、CAが発行する証明書について
subjectAltName: 必須
commonName: 推奨されない(でも禁止しない)
となってる
http://cabforum.org/Baseline_Requirements_V1.pdf
https://jp.globalsign.com/repository/baseline_requirements_ja.pdf
ttp://co-akuma.directorz.jp/blog/2012/05/baseline-requirement%E3%81%A8%E3%81%AF%EF%BC%9F/

270 ：

サービス提供会社の信頼性に依存するけど
クライアント
　↓ SSL
なにかサービス
　↓ SSLでproxy
ポートベースのVH
ってしてくれるサービスがVPSより格安であったらよさげだね

271 ：

個人事業主だとアドレスバー緑に出来ない？

272 ：

登記していればできる

273 ：

>>272
ざくっと調べたところ「商号登記」ってのが手軽そう。で、商号登記簿謄本の写しとそれを英訳した物を資料として用意したりすんのかな？
後は自分で調べてみる。ありがとう。

274 ：

あれ、商号登記あっても個人だとEVは無理だったと思う。
どこの認証局で出してる？

275 ：

ルート証明書入ってても確認メッセージが出る古い携帯があります
OK押せばきちんとSSLマークも出て通信されますが、
比較的新しい携帯のように確認自体が出ないもんかと思っていましたが
そういうもんなんでしょうかね？
具体的にはEquifax Secure Certificate AuthorityでSoftBankの810T
↓の"SSL証明書一覧"見る限りでは○になってるんですけど
ttp://creation.mb.softbank.jp/mc/tech/tech_web/web_docandtools.html

276 ：

>>275
どのような確認メッセージだったの？

277 ：

>>275
携帯の時間有ってる？
クロスルート証明書の設定してある？

278 ：

>>277
携帯の時間、ドンピシャです！
(始めに設定してたつもりが電池抜いたり指したりしてたら過去に戻ってしまっていました･･･)
>>276
確認メッセージ自体は機種によると思いますが、
「このサイトは安全ではない可能性があります。接続しますか？」
というものでした
どうもありがとうございました！
数年ぶりに携帯サイト弄ることになって色々情報を確認してみると、
auの旧800MHz帯関係で古い機種サポートしなくても良くなっていたり
(手持ちの該当機種にSIMカード入れても圏外になるので始め故障かと思いました)、
携帯サポートもRapidSSLでほぼ十分(当時はThawte使ってました)になっていたり、
浦島太郎状態でした
スマホ時代なので証明書に関してはあまり意識しなくてもよい時代になった感じですね

279 ：

2010年問題(2012年問題)のおかげで
どの会社の使ってもカバレッジ100%に出来なくなったから
RapidSSLで十分だよね。
シールなんかあっても誰も見て無いなぁ

280 ：

いっそのこと共用SSLでも…

281 ：

>>279
当サイトは○○の高度なセキュリティ技術と証明書によってお客様の
プライバシーや通信内容が強力に保護されていることを知っていましたか？
・知っていた
・今知った
って項目をSSLサイトに作ればいい。

282 ：

OpenSSLのインストールがうまくいかなくて困り、ここで質問しようとしたら、その前に自己解決しました。
http://www.shinbo.org/archives/631
↑この通りにやったら、とりあえずOpenSSLの最新版（1.0.1e)の導入に成功。
次の目標は、Apacheを入れて、自己認証局を建てて、オレオレ証明書でSSLを利用可能にすることです。
うまく行かなかったら、またここで質問させていただきます。よろしく！

283 ：

お引き取り下さい。
あなたのような無能クズが来ていいスレではありません。

284 ：

http://thinkit.co.jp/free/article/0706/3/7/
http://www.oss-d.net/apache2.2-php5.3
あたりの説明通りにやったら、テストサーバーでは、オレオレ証明書（ワイルドカード対応＝*.ドメイン名）でSSLができるようになりました。
本番サーバー（さくらVPS）でやったら、https://でページは表示されるけど、ディレクトリが別々になっているVirtaulHostのトップページが表示されず、ドキュメントルートのトップページが表示されてしまった。
httpd.conf、vhost.conf、ssl.confあたりの設定をいじっているけど直らない＞＜
どうすれば直るでしょうか？アドバイスよろしくお願いします。

285 ：

環境は、CentOS5.9＋Apache2.2.3＋OpenSSL1.0.1です。

<VirtualHost *:443>
ServerName domain.com:443
DocumentRoot /var/www/html/domain.com
SSLEngine on
SSLCertificateFile /etc/pki/tls/certs/server.crt
SSLCertificateKeyFile /etc/pki/tls/private/server.key
</VirtualHost>
こんなかんじですが、正常なページが表示されませんね〜＞＜

286 ：

>>283
どんな達人でも、最初はみんな初心者だった。
だから、私はどんなにスキルアップしても、初心者に親切にしてあげようと思っています。
皆さんも私に親切にしてください。よろしくお願いします。m(__)m

287 ：

>>285
エラーログは？

288 ：

>>287 アドバイスありがとうございます。エラーログを見て、改善を図り、トップページまでは見えるようになりました。
# pwd
/var/log/httpd
# ls ssl*
ssl_access_log ssl_error_log ssl_request_logPHP5.4＋CodeIgniter2を使ってるのですが、他のページが見えないのは、Rewriteルールの記述の問題みたいでした。原因の切り分けができたら、またこちらで質問させていただきます。

289 ：

>>286
お断りします。

290 ：

>>288
男割します。

291 ：

というか、エラーログみないレベルのキチガイがSSLとか10桁万年早い。

292 ：

RapidSSLの証明書は一意に企業は低コストのSSL certificates.Theyがeコマースやセキュアログインエリアを提供するサイトの光のレベルを行うウェブサイトに適しています信頼できる、完全に機能する単一のルートを取得することができます。
ClickSSL - http://www.clickssl.com/ssl-certificates/rapidssl

293 ：

Nginx1.2.4＋OpenSSL1.0.0で、オレオレ証明書のSSL通信ができました。
Nginxの設定は、Apacheと比べて、超簡単でした！
Apacheのmod_rewriteは、正規表現を復習して、再チャレンジしたいと思います。
>>289-292 どうもありがとうございます。

294 ：

example.comでwwwサーバ、メールサーバ、sshサーバを運営したいんだけど、
www有りのコモンネームで証明書を取得すれば、SANsの機能で
www有り・無し関係なくSSL通信ができるという認識であってますか？

295 ：

>>294
example.com と www.example.com の両方がSANで含まれた証明書ならね。
でも、普通は www.example.com の証明書を取得したら example.com は含まれないと考えるべき。
追加料金で両方含めれたり、逆にexample.comは最初から勝手に含まれてたりとか、認証局によって違う。

296 ：

>>295
example.com (wwwなし)の証明書って必要？

297 ：

ComodoのPositive SSLって安いな
ttp://www.gogetssl.com/domain-validation/
Positive SSL CNがexample.comにSANでwww.example.com
Rapid SSL CNがwww.example.comにSANでexample.com
だったはず

298 ：

認証局を立ててぼろもうけしたいんですが、
親にしたい認証局で何を買ってくればいいんですか？

299 ：

>>298
馬鹿なの？
マジレスすると自分の作ったCA証明書を、
各種ブラウザやアプリやOSにデフォルトでインストールしてくれるよう
全世界に対して頑張って営業すればよい。

300 ：

(1) RapidSSLで安いサーバー証明書を1個買う
(2) 自分で中間認証局を作り、RapidSSLのサーバー証明書を割り当てる
(3) 自分で、自分用の他のサーバー証明書を量産する
ってことはできるものでしょうか？
要するに、自分で運営しているWebサイト（ドメインがいろいろある）を(1)でまかなうケチケチ作戦です（・∀・）
ttp://e-words.jp/w/E4B8ADE99693E8AA8DE8A8BCE5B180.html
ttps://www.verisign.co.jp/basic/pki/trust/index_4.html

301 ：

できない。
あなたのサーバ用の証明書は、そのサーバ（ドメイン）でしか使えない。
中間認証局用のキーは別に存在する。
まえに中間認証局用のキーが漏れたことがあって、大量に証明書を偽装する事件があったが。

302 ：

あった、あった、結構最近だったｗ
http://internet.watch.impress.co.jp/docs/news/20130107_580795.html

303 ：

>>300
証明書には「その証明書で他の証明書を発行していいか」
(中間証明書になってもいいか)というフラグがあり、
通常の証明書ではそれがfalseになっているので、無理。
具体的にはX509v3 Basic Constraints: CAの値。
もちろんそれも証明書の署名範囲内なので、無理矢理書き換えれば無効な証明書になる。

304 ：

>>301-303 参考になりました。どうもありがとうございます。
中間証明書というのがないと、自分で公的な中間認証局を設置できないんですね＞＜
→自分で中間認証局を作りたい場合、中間証明書ってのは、販売されているものなのでしょうか？（聞いたことないです）
普通の用途とは違って、特別なかんじがするから、販売されていたとしても、条件が厳しい・値段が高そうですね？

305 ：

リセラーで調べたら

306 ：

>>304
いまいち理解してないようだが、認証局作るだけならopenssl使って誰も普通に作れるよ。
で、自分で作った認証局でいくらでも証明書の発行するのも自由。
自分のブラウザに「自分の認証局の証明書をインストール」さえしておけば、
自分で発行した証明書もブラウザは正規の証明書として認識するようになる。
そういう意味では発行し放題。

でもその行為（＝得体のしれない認証局の証明書をインストール）は、
要は自分のブラウザのセキュリティを下げてるってことなのよ。
だって、google や yahoo の偽物証明書が返ってきたとしてもエラーにならないから
フィッシングやウィルスの仕込みだってやりたい放題になる。
それが自分にインストール済みの認証局が発行したものだったらブラウザは信じちゃうわけだからね。
なのでテスト目的で自分で作った自分が信頼する認証局を使って自分でやる分には問題ないし。
自分がホンの欠片も疑いを持たないような全幅の信頼を置いている友人が立てた認証局を信頼するのであればやってもよいことになる。
まぁ、俺なら例え友人や家族だろうと素人が立てた認証局なんてインストールしたくないわ。
要は認証局とか証明書っていうのは、信頼の連鎖なわけよ。
俺が信頼すると決めた奴の言うことは俺も100%信頼する、という、さ。

公的な認証局になるってことは他人のセキュリティを支配可能になるということとほぼ同じ。
だから国とか特別な公的な団体とか色んな人間に日々監査され信頼された大企業とか、
特別に「信頼出来る組織」が運用してる認証局しか基本使えないし、使わないの。
OSやブラウザにデフォルトでインストールされている認証局ってのはそういう存在なの。

これだけ説明すれば個人が公的な認証局になるなんてことはほぼ不可能だと分かるだろ？

307 ：

丁寧すぎワロタｗ

308 ：

ついでに言うと、
だったらその「公的に認められた認証局」の中に悪人がいたらどうすんの？
って思うかもしれないね。
うん、勿論大変なことになる。
でももし一度でもそんなことをしたらその認証局は誰にも信頼されなくなるよね。
その瞬間から、世界中から「お前はもう信頼しねー」と思われ「あいつは信頼してはいけない」と言われる存在になってしまう。

現実にはそれによって何が起こるかというと、
全世界的にブラックリストな認証局として記録・公開される。
マトモなOSやブラウザなら、デフォルトインストールの認証局リストからそいつを排除するし。
その認証局の証明書をアンインストールするパッチを配布する。
そうなったらもうその認証局は実質的に存在できなくなるわけだ。
発行した証明書はブラウザで警告が表示されて誰も信じてくれない。
当然、証明書の発行を商売にしてたとしたら誰も買わなくなるから潰れる。
世界中から訴訟も起こされるかもしれない。

認証局自身も過ちを犯してしまったらそうなることが分かってるから、
全力で自分の組織を健全に保とうと努力するし、内部からも外部からも監査を徹底することになる。
それは監査を受けることはその組織にとって自分を守ることでもあるわけだ。
そういう目に見えない力が働くことによって、世の中の信頼の連鎖が今日も保たれてるのだよ。

分かった？

309 ：

外部から不正侵入されて偽証明書を発行してしまったオランダの認証局は
信用を失ってその後破産しました。

310 ：

>>297
へー安いね。
遊びで立てたサーバーでも入れてもいいかなって値段

311 ：

>>308
認証局に悪人がいたわけじゃない(マヌケがいたかどうかは別)けど、
VeriSignがMicrosoftの証明書発行でやらかしたことはみんな忘れてあげてるよねｗ
http://internet.watch.impress.co.jp/www/article/2001/0323/verims.htm
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20010323/1/
DigiNotar(>>309)・Comodo(>>92)・TURKTRUST(>>301-302)がやらかしたことは忘れられてない気がする。

どの程度の監査がされてるか興味がある人はWebTrust for CAとか
Baseline RequirementとかRFC3647とかを調べたらいいと思うんだ

あと>>298にマジレスを追加するなら親にしたい認証局(の運営会社の)株を
50%越のレベルで超大量に買うのもいいと思う。ぼろもうけできるかは別として。

312 ：

アメリカの機関がインターネット上の暗号を解読していたってニュースが
流れていたけど、SSLっていうのは大丈夫なのですか？

313 ：

続報がないことにはさっぱりわかんね

314 ：

ググれば簡単にわかるだろ

315 ：

盗聴しやすいようにSSLは使わないサービスとかあったなｗ

316 ：

あれってサーバ側に平文の状態のデータをキャプチャするための
ソフトを入れるのかな(´・ω・｀)

317 ：2013/09/24

別にアメリカの機関じゃなくても
多くの大学やら、ハッカー集団がコンテストで破ってんじゃん。
結局イタチごっこなんだよ。
強度の高い暗号→処理速度向上で簡単に破られる→より強度の高い暗号化→
ハッキングに使うPCの処理能力も上がってるけど、
暗号化するためのPCも処理能力上がってるから
時代にあった暗号化技術を採用していけばいいって話だよ。