質問
- CoreSSLの認証局はCOMODOでは無いのでしょうか?
-
本文:
初めまして。
CoreSSLを購入し設定して、ブラウザでアクセスして証明書をみてみたところ、
USERTrust RSA Certification Authority
SecureCore RSA DV CA
との表示でした。
SSLボックスのCoreSSLの欄の記載には、
「SSL証明書の発行において世界シェアNo.1のComodo社を認証局に採用した高い信頼性を誇るSSL証明書です。」
との記載だったので、
COMODO xxxx xxxxxx xxxxxxx xxxxxxx
などのような表示かとの印象がありました。
なぜ、そのようになっていないのでしょうか。
SSL証明書の仕組み等よくわからず、気になっております。ご存知の方ご教示頂けましたらとてもありがたいです。
宜しくお願いします。
- 緊急度:通常投稿者:maltsさん投稿時間:2019/08/09 02:14
回答 No.9451
-
本文:
...質問の趣旨とははずれるけれど。
> 世界シェアNo.1のComodo社を認証局に採用した高い信頼性を誇る
証明書のシェアが高いことは、信頼性が高いことを導きません。
(シェアが高いから、信頼性も高い、とは言っていないので、ぎりぎりセーフな表現だとは思いますが...) - 投稿者:ジョバンニさん 投稿時間:2019/08/09 04:37
質問者からのコメント
ご回答ありがとうございました。
回答 No.9452
-
本文:
>>
2018年11月5日、Comodo CAからSectigoにブランド名を変更した Sectigo は、2019年1月14日以降発行される証明書の root 証明書をこれまでの Comodo Root CA から、USERTrust Root CA に変更します。
USERTrust Root CA は Comodo が 2000年に作成した root 証明書ですが、更新され 2038年まで有効です。
https://rms.ne.jp/digital-certificate-news/sectigo%E3%81%AF2019%E5%B9%B41%E6%9C%8814%E6%97%A5%E3%81%AB%E6%96%B0%E3%81%97%E3%81%84root%E3%81%8B%E3%82%89%E7%99%BA%E8%A1%8C%E3%82%92%E9%96%8B%E5%A7%8B
<<
Comodo社の認証局というのは、上記を見る限りでは、そうなのでは?
■
Comodo CAがSectigoにリブランド - CNET Japan
https://japan.cnet.com/release/30278559/
ブランド戦略の一環では?
■
SSL認証局が偽の証明書を発行、大手サイトに影響の恐れ - ITmedia エンタープライズ https://www.itmedia.co.jp/enterprise/articles/1103/24/news020.html
もしかしたら、このあたりとも関係あるのかも。
- 投稿者:k-tanさん 投稿時間:2019/08/09 10:24
質問者からのコメント
ご回答ありがとうございます。
>USERTrust Root CA は Comodo が 2000年に作成した root 証明書ですが、
存じ上げませんでした。それならUSERTrust Root CA の表示となるのもおかしくは無いかと思いました。
回答 No.9454
-
本文:
質問の主旨は「発行者がなぜコモドではなくセキュアコアなのか?」ですから
回答は「中間CAタイプだから」です。
---
SSLボックス記載の売り文句に関しては、
指摘するのならネットオウルに突っ込むべきで、ここに書いてもしようがないと思いますが、
TLS証明書の「信頼性」については、
なにをもって「信頼性」というのかが問題です。
不特定多数に公開するウェブサイトに使用する証明書に求められることは、
一般的なブラウザがデフォルトで信頼する証明書であること
だろうと思われます。
PKI方式で、認証局の信頼性の判断をブラウザ等の製作元にいわば「お任せ」している前提では、
シェアの大きさと「信頼されている」こととは事実上で一定の相関関係があると思われます。
そうすると、コモドやデジサート、セコムあたりが、採用する選択肢に挙がるということがいえます。
同じく中間CAタイプのJPRSは、「純国産」を標榜してセコムを採用していますが、「純国産」と信頼性に合理的な相関関係はないでしょう。
「信頼性」というのを、暗号化通信の信頼性でいうのならば、主に技術的な問題であって、概ね、認証局の問題ではありません。
「信頼性」を、認証局による審査(実在確認・本人確認)手段でいうのならば、
業界では一定の基準が設けられているので、それを遵守している限りにおいては大きく逸脱することはありません。
ただ、当該認証局が本当に遵守しているか、基準を超えた審査を行っているか否かで、信頼性が異なることはあります。
しかしそもそも、ドメイン認証型証明書は基本的に、ドメイン自体しか確認せず、実在確認などは行わないで発行されるため、
その意味で「信頼性」を議論することはナンセンスにきわめて近いといえます。
本当に「信頼性」の高い証明書が要るのであれば、
実在確認があり証明書に対して発行対象が書き込まれる組織認証型(企業認証型)か、
さらに厳しい確認が行われる拡張認証型(EV)にしないといけないということがいえます。
(通販サイトなら組織認証型以上が普通で、金融機関なら拡張認証型が普通です。)
- 投稿者:ayaguchiさん 投稿時間:2019/08/09 16:51
質問者からのコメント
ご回答ありがとうございました。
私の知識が足りず「中間CAタイプ」ということがよく理解できていなかったのだと思います。
また、信頼性に関して非常に丁寧かつ詳細にお教え頂いたことも、まだまだ消化し切れてはいないかと思いますが勉強になりました。
回答 No.9455
-
本文:
> しかしそもそも、ドメイン認証型証明書は基本的に、ドメイン自体しか確認せず、実在確認などは行わないで発行されるため、
その意味で「信頼性」を議論することはナンセンスにきわめて近いといえます。
いや、「ドメイン自体の確認」にしても、「ドメイン自体の確認」と、「root@ドメインへのメールが読めること」や、「そのドメインのウェブサーバーのroot権限がないとインストールできないプログラムがインストールできること」は同値ではないし、ドメイン認証型の証明書の信頼性を議論することは、ナンセンスではないですよ。
> 業界では一定の基準が設けられているので、それを遵守している限りにおいては大きく逸脱することはありません
その一定の基準を守っていない(大手の)業者がいたから、SSL証明書の信頼性が大きく揺らいだわけで。。。 - 投稿者:ジョバンニさん 投稿時間:2019/08/09 19:39
質問者からのコメント
ご回答ありがとうございます。
信頼性というのは、やはり深く難しいもの、と感じました。
勉強になりました。
クラウド型高速レンタルサーバー
無料レンタルサーバー
無料サーバー付きドメインサービス
格安SSL証明書
回答 No.9450
この回答がベストアンサーです
CoreSSL の証明書の直接の発行者は、ネットオウルの関連企業であるセキュアコア株式会社です。
https://www.securecore.co.jp/
セキュアコア社が発行した証明書が一般的なブラウザで信頼されるのは、
セキュアコアが Comodo 社から認証を受けているからです。
おおもとの認証局が Comodo 社なのは事実です。
つまり、多くのブラウザは Comodo 社を認証局として承認しているので
Comodo 社から認証を受けたセキュアコア社も信頼されるという構造になっています。
セキュアコア発行の証明書が廉価なのもそのためです。
http://e-words.jp/w/%E4%B8%AD%E9%96%93CA.html
質問者からのコメント
ご回答ありがとうございます。
直接の発行者はセキュアコア社となるのですね。
Comodo社はセキュアコア社を認証しているということになり、
その為、表示はされない代わりに、廉価なのですね。