セキュリティ証明書(およびその価格)について理解する

セキュリティ証明書(およびその価格)について理解する

通常は自己署名証明書を使用していましたが、今では最小限のコストで適切な証明書が必要です。

「認証局」を作成するということは、makecert実際には公開鍵/秘密鍵のペアを作成するということなので、そのような「認証局」から公開鍵/秘密鍵のペアを作成するということは、実際には 2 番目の公開鍵/秘密鍵のペアを生成し、その両方を「認証局」に属する秘密鍵で署名するということであることは明らかです。鍵は署名されているので、誰でもそれが私が作成した認証局からのものであることを確認できます。または、Verisign が私にペアを提供した場合には、Verisign は独自の秘密鍵の 1 つで署名し、誰でも Verisign の対応する公開鍵を使用して、鍵のソースが Verisign であることを確認できます。

これを踏まえると、私が本当に求めているのは、彼らの秘密鍵の 1 つで署名された単一の公開鍵/秘密鍵ペアだけなのに、なぜ Verisign や Godaddy には年間プランの料金しかないのか理解できません。

明らかに私は何かを誤解していますが、それは何でしょうか? Verisign は公開鍵/秘密鍵のペアを定期的に廃止しているので、私の Verisign 署名済み鍵のペアは「期限切れ」になり、新しい鍵が必要になりますか?

編集: 証明書には内部有効期限があり、他の証明書に署名するために使用できるかどうか (つまり、証明書として保存されている他の秘密/公開キー ペアに署名できるかどうか) を示す内部値も保持していることを知りました。年間サブスクリプションなしで、認証/暗号化に使用できる、Verisign などの署名付き非署名証明書をいくつか (1 つでも) 入手することはできないでしょうか?

答え1

彼らは事業継続のために、発行する証明書に有効期限を設けているのではないかと推測します。

無料の認証局を試してみたい場合は、CA証明書またはスタートコムただし、顧客は VeriSign のようなより「よく知られている」証明機関の使用を主張する場合があります。

答え2

証明書には有効期限が必要です。これは、適切な暗号化方法の一部にキー管理があるためです。秘密キーが今日安全であっても、明日はデータ セキュリティ侵害で漏洩する可能性があります。キーを長く使用すればするほど、最終的に侵害される可能性が高くなります。

侵害された鍵を指定する期限なしの証明書が存在する場合、誰かがその証明書と侵害された鍵を使用してあなたになりすます可能性があります。永遠に有効期限メカニズムでは、証明書の有効期限が切れるまでしかそれを実行できません。

答え3

年間料金を支払うと、最初の手続きを済ませればいつでも証明書を再発行および更新できます。サブスクリプションが終了しても、証明書は自動的に期限切れになるわけではありません。たとえば、年間サブスクリプションでも、証明書の有効期限は 2 年です (証明書のベースとなるルート証明書の有効期限は 10 年程度です)。この証明書を使用して独自の証明書に署名すると、その時点で有効な証明書を使用して署名されている限り、証明書は指定した期間有効になります。私の経験では、拡張証明書チェーンの検証は、ブラウザーやその他の SSL クライアントではほとんど実行されません。

証明書会社が証明書の有効期限を切るのは、SSL セキュリティの進歩 (たとえば、512 ビットから 2048 ビットへ、または RSA から EC へ) に遅れないように強制するため、証明書が漏れたり、保存されてから消えたと思ってからかなり経ってから解読されたりした場合に、あなたと他の全員を保護するため、また、名前が変わったり、廃業したりした場合に備え、定期的に再審査するためです。これは、証明書会社の信頼チェーンの一部です。早期に発見すれば、CRL をすぐに発行できますが、そうでない場合は、余分な手間をかけずに古い証明書が自然に期限切れになります。

そしてそれは収益源でもあり、それがビジネスなのです。

独自の CA になりたい場合は、証明書署名証明書を必ず取得し、証明書を使用するときにチェーン内のすべての証明書をまとめて取得する際に多少の手間がかかることを覚悟してください。

答え4

署名機関によっては、検証がかなり広範囲にわたる場合があります (そのため、機関にとってコストがかかります)。これにより、証明書のコストが増加します。通常、証明書のコストは、実行される検証のレベルによって異なります。新しいテクノロジにより、アドレス バーに色付きの通知を表示して、信頼度をある程度示すことができます。

証明機関の証明書は通常、約 10 年ごとに期限切れになります。この時間の一部は、証明書をブラウザの証明書キャッシュに展開するのに必要なため、最初の 1 ~ 2 年間は使用されない可能性があります。最後の 1 ~ 2 年間は、署名キーが署名キーの期限切れ前に期限切れになるため、証明書は役に立ちません。

認証局は、キーに署名することで、基本的に、この証明書の所有者を信頼しているので、あなたもその所有者を信頼できると言っていることになります。認証局はこの信頼を定期的に検証する必要があるため、証明書の有効期限が切れる理由の 1 つとなっています。

CRL が提供されてチェックされた場合、署名機関はキーの所有者を信頼しなくなったことを通知できます。これは、盗まれたキー、不適切に発行されたキー、キーが使用されなくなった、またはその他の理由など、さまざまな理由で発生する可能性があります。証明書の有効期限は、CRL データベースのサイズを縮小するために使用できます。

署名機関によっては、複数年の証明書を発行する場合があります。これは更新証明書にのみ利用できる場合があります。

証明書の使用を開始すると、関連する信頼関係を維持することにコミットすることになります。これには、定期的に更新される証明書の展開が含まれます。

関連情報