http://www.jogrid.net/ の認証局証明書について

http://www.jogrid.net/ の認証局証明書について

- Xpyoda Janus の投稿
返信数: 5

Xpyoda Janusです。

Firefox 31.0を使っています。

Webサイトのトップページにある、「認証局証明書 http://www.jogrid.net/certs/cacert.crt」ですが、これをインポートしてログインしようとしましたが、エラーでhttps: のページに移行できません。

これですが、Common Name(CN)が「JOGRID.NET」となってます。でも、「https://www.jogrid.net/... 」に接続する場合のサーバー証明書のCNは、「www.jogrid.net」である必要はないのでしょうか?

cacert.crt は認証局の証明書であり、これとは別に www.jogrid.netのサーバー証明書を作成し、これを cacert.crt で署名したものを www.jogrid.netのWebサーバーに設定しなければならない、ということはないでしょうか?

つまり認証局の証明書はあるけど、Webサーバーのサーバー証明書がない(もしくは不適切)ということではないかと...。

ちなみに、今この書き込みは、Google Chrome を使って、強制的に接続してますけど、どうやら、https --> http と暗号化無しでログインできたようです。つまり、Firefoxは厳密な挙動をとったから、接続がはねられてしまったのではないかと思ったりもします。

SSL回りはあまり経験がないので、間違ったことをいってるかもしれませんが...。

 

Xpyoda Janus への返信

Re: http://www.jogrid.net/ の認証局証明書について

- Xpyoda Janus の投稿

Firefoxでログインできない件ですが、以下の記事を見つけました。

Firefoxをバージョン31に更新すると、自己署名またはLotus DominoベースのSSLセキュアWebサイトに接続できない
http://www-01.ibm.com/support/docview.wss?uid=jpn1J1011949

Firefoxのアドレス欄に「about:config」といれて、「security.use_mozillapkix_verification = false」にすると、Firefoxでもログインできるようになりました。

追加情報として、お知らせいたします。

 

 

Xpyoda Janus への返信

Re: http://www.jogrid.net/ の認証局証明書について

- Iseki Fumikazu の投稿

情報ありがとうございます.

www.jogrid.net のトップページにも(小さい字で)書いていたのですが,どうも Firefox のバグというか仕様というか不具合にようですね.
こちらの確認では,クライアントの時刻があっていなかったりして一度でもエラーを起こすと,その証明書は2度と使えなくなるようです.

こちらは対症療法(証明書を削除する)しか分かっていなかったので,解決方法として大変参考になりました.
ありがとうございます.

Xpyoda Janus への返信

Re: http://www.jogrid.net/ の認証局証明書について

- Iseki Fumikazu の投稿

技術的なお話ですが...

ブラウザがサーバにhttpsで接続した場合,サーバから送られてきたサーバ証明書(認証局が発行したもの)の検証を行います.

検証事項は色々ありますが,最も重要なのは,そのサーバ証明書を発行した認証局の証明書がブラウザにあって,かつ認証局のサインとサーバ証明書に書かれている(認証局の)サインが一致するかということです(本当にその認証局が発行したものかということ).

認証局は,さまざまなサーバ証明書を発行することができます.認証局の証明書をブラウザにインストールしておけば,その認証局が発行したサーバ証明書は正当なものと認識されます.

したがって,認証局の証明書がブラウザにインストールされていれば,それが発行したサーバ証明書はブラウザにはインストールしなくても(本来は)大丈夫です.(インストールしてもいいですが...)
認証局の証明書がブラウザにインストールされていない場合は,一々警告が表示されて,同意があれば,サーバ証明書はブラウザにインストールされることになります.

(つまり,Firefox なり,Chromeなりに,リリース時にデフォルトとして認証局の証明書をインストールしてもらえれば,あとはサーバ証明書発行の手数料で左団扇で暮らせます)

上記は冗談ですが (^^;,一サイトがそんなことはできないので,皆さんに手動で認証局の証明書のインストールをお願いしています.

前にマネーサーバのクライント認証のお話もしましたが,このクライアント証明書も認証局が発行し,その中に認証局自身のサインを含ませます.
サーバ証明書の場合とは逆で,この場合はサーバがクライント証明書を検証しますが,認証局の証明書があればサーバは個々のクライアント証明書のコピーを保持する必要はありません.

>> https --> http と暗号化無しでログインできたようです

https の設定をしている場合,http (暗号化なし)で接続できる ということは絶対にありません,
暗号化あり か 接続できないかの2者択一です.

自分で書いててちょっと分かりにくい気もしますが....
こういうのは厳密に書こうとすると,どうしても分かりにくくなってしまいます.すみません.

 

Iseki Fumikazu への返信

Re: http://www.jogrid.net/ の認証局証明書について

- Xpyoda Janus の投稿

素早い回答、ありがとうございます。

認証局まわりの技術的なことは、だいたいは了解していますので、厳密でもたぶんOKです(ほんとかwww)。


> >> https --> http と暗号化無しでログインできたようです
>
> https の設定をしている場合,http (暗号化なし)で接続できる
> ということは絶対にありません,
> 暗号化あり か 接続できないかの2者択一です.

一度ログインしたら、ずっとhttpsかと思ってましたが、ログイン後は、httpのページにリダイレクトされるのですね。
それを、「https --> http と暗号化無しでログインできたようです」と勘違いしてしまったようです。すみませんでした。

IEや、Chromeでもいろいろログイン試してみましたが、信頼されたルート証明機関として登録した後は、特に問題ありません。やっぱりFirefox特有の問題なんですねぇ。Firefoxがメインブラウザなんでちょっと残念。

Xpyoda Janus への返信

Re: http://www.jogrid.net/ の認証局証明書について

- Iseki Fumikazu の投稿

>> 一度ログインしたら、ずっとhttpsかと思ってましたが、ログイン後は、httpのページにリダイレクトされるのですね。

理想的には全部 https なんですが,やっぱり https は重いので,パスワードを保護する場合のみに使用してます.

>> https の設定をしている場合,http (暗号化なし)で接続できるということは絶対にありません,

今読むと結構きつい文調ですね.(^^; すみません.
こちらも分らないことは沢山ありますので,よろしくお願いします.