【#30 情報処理安全確保支援士】認証局の階層構造
ฝัง
- เผยแพร่เมื่อ 3 ต.ค. 2024
- #情報処理安全確保支援士
#セキュリティスペシャリスト
#楽しく成長
ご視聴ありがとうございます。まさるです。
一緒に楽しく支援士勉強しましょう。
■TWITTER始めました
【まさるのつぶやき】
/ masaru_benkyou
■3D VRoid作成
紅々蘭(こくらん)様
coconala.com/u...
■過去動画
支援士の勉強一緒にしませんか?
• 一緒に支援士の勉強しませんか?
セキュリティについて語れるようになりたい
• セキュリティについて語れるようになりたい。
ゼロトラストネットワーク入門
• ゼロトラストネットワーク入門
高度試験共通 午前1
• 高度試験共通 午前1対策
ネスペ直前対策
• ネスペ直前対策
ネットワーク初心者向け動画
• まさるの小部屋
ネットワーク中級者向けの動画
• ネットワークスペシャリスト勉強メモ
■学習ツール
動画学習の強い味方
【IT用語 動画辞典】
toppakou.com/I...
参考書四で何となく理解できたのですが、この動画で理解が深まりすっきりしました。ありがとうございます。大変すばらしい動画です。
Yohei Sudo
さん
コメントありがとうございます。
動画がお役に立ててうれしいです(^^)
いつも無料とは思えない良質な動画をありがとうございます。まさるさん。
今回に動画も非常によく分かりました。
と、同時に、私たちがWEBページを開く数秒の間にこれほどの処理、通信が行われているって
冷静に考えてすげーーって思いました😵
Tuguさん
いつもコメントありがとうございます。
本当にそうですよね…人間にとってのほんの一瞬で、
コンピュータは膨大な仕事をしてくれています。
ありがたい事です。
Tuguさんのコメント見て、
自分が使ってるパソコンに感謝したくなりました。
いつも頑張ってくれてるので
ディスプレイを優しく拭いてあげる事にします(笑)
いつも良質な動画ありがとうございます!
少し前の動画についての質問で恐縮ですが、
6:20 あたりの
認証局Eの公開鍵証明書はどこから取得してくるのでしょうか?
kjm503 zzz
さん
コメントありがとうございます。
明確な答えを探して、いろいろ調べてみましたが
しっくりくる情報がなく
少しあいまいな回答になり恐縮ですが
下記サイトでは
>公開鍵証明書を受け取った者が、証明書に含まれる電子署名の情報を検証することで、
>公開鍵がなりすまされたものでないことを保証する。
atmarkit.itmedia.co.jp/ait/articles/0401/01/news066.html
とあるので、
サーバ証明書の中にある情報なのか
または、それに付随して送られてくる情報だと思います。
明確にどこからか分からず申し訳ございません💦
分かった際にはお伝えします(>_
リプライありがとうございます!また、調べていただきありがとうございます!実務でwebサーバに中間証明書を設定し忘れてたにも関わらず、ブラウザでの証明書チェーンの検証が成功している状態になっていて、不思議に思っていたところでした。また何か得られましたら共有いただけますと幸いです!
こんにちは! ネットワークスペシャリストの動画のころから拝見しております。4月の試験は残念ながら午後でだめでしたが(^^;
今回の動画は9:30からの【こんな疑問をもった方もいるかもしれません~】からのご説明は、まさに私が9:29まで動画を見ながら浮かんだ疑問と全く同じでしたので、
まんまと想定通りにはまったというのは失礼ですが、普通に感動してしまいました。。
なかなか一般的な参考書って読む方の疑問に感じることなどに触れず淡々とこういうもの、って説明される本ばかりで頭に入ってこずに、
結局、毎回ネットでググって理解するという繰り返しでした。
10月の試験はこちらの動画と過去問で合格できそうな気がしてきました、引き続きよろしくお願いいたします。(^_^)ノシ
へむへむさん
コメントありがとうございます!
>まんまと想定通りにはまったというのは失礼ですが、普通に感動してしまいました。。
まんまとハマりましたね(・∀・)
…と偉そうに言いましたが、当時私が疑問だった部分です(笑)
勉強する中で同じような疑問で躓く人が多いので、このような動画で疑問点を解決しながら
見てくれる皆さんのお役に立てるのはとても嬉しいです。
そして、へむへむさんのように温かいコメント頂けると
より嬉しく、動画作り頑張るぞー!と元気がもらえます。
10月の試験、もうすぐですね…
最後まで一緒に頑張りましょうー(^^)/
古いPCのルート証明書はあまり良くなかったりしますか?
Sweet pea
さん
コメントありがとうございます。
>古いPCのルート証明書はあまり良くなかったりしますか?
ルート証明書更新プログラムが機能してれば、古いPCでも問題になる事は少ないようです。
参考サイト
jpwinsup.github.io/blog/2021/12/14/PublicKeyInfrastructure/CertificateManagement/about-windows-root-certificate-program/
参考サイトによると、インターネット接続環境があれば
定期的にルート証明書の更新を行っているようです。
よって、古いPCでもルート証明書の更新が行われ
問題になる事は少ないと思います(^^)
参考になれば幸いです。
初めこれを観て、役目は違いますがDNSルートサーバーを連想しました。
ルート認証局はいわゆるオレオレ証明書だと知りびっくりです。つまりOSベンダーやブラウザのベンダーの保証によって成り立っていたんですね。いつも有難うございます。
赤井武雄さん
いつもコメントありがとうございます!
おそらく赤井さんが最初にメッセージ下さった時の疑問への答えが
この動画に近いのではないかと思います。
階層構造という特徴は仰るようにDNSと同じですね。
ルート認証局が自己署名証明書である事は、意外と知られておらず
試験対策としてもしっかり覚えておくといいかなぁ…と思っています(^^)
引き続きよろしくお願いいたしますー!!
@@masaru-study こちらこそ有益な情報いつも有難うございます。
試験対策と言うより好奇心での勉学のみです。恥ずかしながらいい歳なのでボケないように(笑)
@@赤井武雄 コメントありがとうございます!
好奇心でセキュリィティの勉強とは…高尚な趣味ですね。
赤井さんがおいくつかは存じませんが、私も好奇心を大切に色々チャレンジしていきたいです!
いつもありがとうございます(^^)
7:41
ここはなぜ認証局Cの公開鍵を手に入れたことになるんでしょうか?
11:38
「パブリック認証局の公開鍵証明書の情報を設定してくれている」
とはつまり、
PCに適当なルート認証局の公開鍵がインストール?されている。
ということでお間違い無いでしょうか?
理由は、
PCが公開鍵証明書をずっと持っていても意味がないのと、
中間認証局の公開鍵を持っていても、さらにその上位の認証局の公開鍵が必要だった場合、
その通信が発生してしまうため、
事前にいずれかの認証曲の公開鍵をインストールしておくのであれば、
ルート認証局の公開鍵が適当であると考えられるためです。
いつもコメントありがとうございます。
>ここはなぜ認証局Cの公開鍵を手に入れたことになるんでしょうか?
→公開鍵証明書には公開鍵の情報が含まれており、
公開鍵証明書の正当性が確認出来た為
公開鍵を手に入れたと事になります。
>PCに適当なルート認証局の公開鍵がインストール?されている。
>ということでお間違い無いでしょうか?
→はい、ご認識の通りです。
PCのOSやWEBブラウザにあらかじめ
ルート認証局の公開鍵が用意されています。
(ルート証明書と説明される事もあります)
参考URL
ssl.sakura.ad.jp/column/difference-in-ssl/
@@masaru-study
いつも最高の学びをありがとうございます。
6:26
1.なぜ認証局の公開鍵証明書は公開鍵証明書と呼ぶのに、サーバの公開鍵証明書はサーバ証明書と呼ぶのでしょうか?
2.PC→プロキシサーバ→ WebサーバでHTTPS通信をする場合、PCはあくまでもプロキシサーバとしか通信をしないと思います。(プロキシサーバで復号するため)
そしてそれを実現するために、PCにはプロキシサーバの「ルート証明書」を格納しておく必要があるかと思います。
では、なぜプロキシサーバの「公開鍵証明書」「サーバ証明書」ではなく、「ルート証明書」と言うのでしょうか?
プロキシサーバはあくまでも一つのサーバなので、ここまでの流れだと「サーバ証明書」もしくは「自己署名証明書」が正確な気がします。
→あれ、打ち終わった後に気づきましたが、そもそもプロキシサーバが自分で「ルート証明書」を作成するのであれば、PCに格納しておくべきは、「プロキシサーバの公開鍵」では????
いただいたURLのサイトでは、やはりPCが持っているのは「ルート証明書」とありますが、
本動画内でも話されているように、PCはあくまでも「ルート認証局の公開鍵」を持っているだけだと思います。
ここまでの話だと、基本的にサーバ証明書や公開鍵証明書は認証曲やサーバ自身が保持しているのに、
なぜルート証明書はPCが持たないといけないんでしょうか。。
ルート証明書じゃなくて、ルート証明書を復号するための「プロキシサーバの公開鍵」が必要な気がしてます。。
おかしいことがどんどん出てきたので書き殴りましたが、伝わってくださいこの違和感。。
※ちなみに、上記は「ネットワークスペシャリスト試験 平成26年 午後2 問1 設問3 (2)」の問題で上記の答えが「プロキシサーバのルート証明書」になっていたことで、疑問に思ったことが発端となります。
問題文:www.ipa.go.jp/shiken/mondai-kaiotu/ug65p90000000ye5-att/2014h26a_nw_pm2_qs.pdf
回答:www.ipa.go.jp/shiken/mondai-kaiotu/ug65p90000000ye5-att/2014h26a_nw_pm2_ans.pdf
@@抹茶クッキー-y3q
こちらこそいつも温かなコメントありがとうございます!
1.なぜ認証局の公開鍵証明書は公開鍵証明書と呼ぶのに、サーバの公開鍵証明書はサーバ証明書と呼ぶのでしょうか?
>用途によって、呼び方を変えているからです。
まずはデジタル証明書という大きな枠組みがあって、
正規のサーバである事を証明したい場合は、サーバ証明書
正規のクライアントである事を事を証明したい場合は、クライアント証明書などと言われます。
そして、正規の公開鍵である事を証明した場合は、公開鍵証明書と呼ばれます。
サーバ証明書の中には、
自分はこういうサーバです。という情報と
自分を暗号通信したければ、この公開鍵を使ってください。
この公開鍵の正当性はこうやって確認できます。という情報が含まれています。
正規であるサーバの証明(サーバ証明書)
正規の公開鍵で有ることの証明(公開鍵証明)
両方の役割があります。
2.なぜプロキシサーバの「公開鍵証明書」「サーバ証明書」ではなく、「ルート証明書」と言うのでしょうか?
クライアントにはプロキシサーバーのデジタル署名を作ったCAを信頼するためのルート証明書としてインストールするからです。
knowledge.digicert.com/ja/jp/solution/SO23057.html
もしプロキシサーバーが、自分自身で証明書を作る場合は
抹茶クッキーさんの仰るとおり自己署名証明書になります。
ただ、一般的にプロキシサーバーが証明書を作る事は少なく
認証局を別に用意する事が多いと思います。
この時、プロキシサーバーの証明書を作った
認証局を信頼する為にルート証明書とクライアントにインストールします。
伝わってほしい…私のつなたない文章で🥲