【無料ツールで作るセキュアな環境(37)】〜最適なSSLソリューション〜(執筆:office)
【無料ツールで作るセキュアな環境】シリーズの第31回から最適なSSLソリューションは何かということをテーマに連載を続けてきたが、今回でこのテーマについてひとまず終了したい。SSLソリューションに関して、主として認証に関する部分を中心に話を進めてきたが、この
特集
特集
SSLは公開鍵暗号システムを用いたインフラ、PKI(Public Key
Infrastructure)の一つであり、SSLはその使用にあたって認証局を用いることは必須である。SSLの機能自体はOpenSSL等を利用することにより、無料で使えるが、認証局の利用に関しては、より信頼性の高い証明内容が必要となる場合には無料でそのサービスを受けることはできない。
電子証明する内容や厳密度はいくつかのクラスに分けられていることが多く、クラスによってその課金額も段階が設けられていることが多い。そのクラス分けは例えば
クラス1:電子メールアドレスだけあっていれば名前も匿名でかまわない。クラス2:正しい本名、住所、電子メールでなければ発行されない。
クラス3:個人には対応せず企業認証のみ。
登記簿謄本、代表者印鑑、印鑑証明書等の政府機関への届け出され
ている情報の確認が要求される。
というようになっている。この例のクラス2以上の証明を行おうとすれば、これらの内容を登録する審査登録(RA: Registration Authority)に工数がかかることから、認証サービスは基本的に無料ではありえない。
自組織の人間など、既に組織の信用性が既に知っている人だけが組織外の場所からアクセスしてくるサイト構築においては、高額な認証サービスを用いる必要はなく、独自認証局を構築すればよい。無料で独自認証局を構築するツールとしてはICAP[1]、AiCA[2]、EasyCert[3]などがあり、またOpenSSLにもCA.shというShell スクリプトが含まれている。CA.shによる独自認証局構築の具体的な方法は【無料ツールで作るセキュアな環境(34)】で説明したのでそちらを参照して欲しい。
また、名前とメールアドレス、あるいはホスト名についての証明書を無料で発行するが、その事実確認を全く行わないという株式会社デジオン[4]による、「FreeCA」[5]がある。独自認証局と同様使い方次第では非常に有用である。FreeCAのシステムでは証明書の所有者が誰なのか?ということよりも、存在の連続性を重視している。
office
office@ukky.net
http://www.office.ac/
[1] http://www.icat.or.jp/conf/results.html
[2] http://mars.elcom.nitech.ac.jp/security/aica.html
[3] http://mars.elcom.nitech.ac.jp/security/easycert/
[4] http://www.digion.com/
[5] http://freeca.digion.com/
(詳しくはscan本誌でご覧ください)
http://www.vagabond.co.jp/vv/m-sc.htm
《ScanNetSecurity》