C# と VB.NET の質問掲示板

ASP.NET、C++/CLI、Java 何でもどうぞ

C# と VB.NET の入門サイト

Re[6]: SSL証明書のインポート

(過去ログ 61 を表示中)

[トピック内 16 記事 (1 - 16 表示)]　 << 0 >>

■35203 / inTopicNo.1)

　SSL証明書のインポート

▼■

□投稿者/ honey K (1回)-(2009/04/22(Wed) 10:13:25)

分類:[C#]　

2009/04/27(Mon) 19:10:26 編集(投稿者)
2009/04/27(Mon) 19:10:17 編集(投稿者)

はじめまして、C＃初心者です。

WinXPに「Microsoft .NET Framework 2.0 SDK」を入れて勉強中です。

今回、SSLの証明書をインポートしてくれるプログラムを作成したく、質問させていただきます。

オレオレ証明書で構築されたhttpsのサイトにアクセスすると、
「セキュリティの警告」が出ると思いますが、下記のような
http://www.geocities.jp/k3_makochin/ssl_install.html
操作を行うと次回から警告が出なくなります。
このインポートをプログラムでできないか調べていたところ、
ありがたいことに
http://www.atmarkit.co.jp/fdotnet/dotnettips/844addcert/addcert.html
こちらのサイトでできることが解りました。

ただ、ローカルに証明書ファイルがあるときにしかできず、
自分のサーバーであれば、証明書ファイルをダウンロードできるところに置き、
一旦ローカルにダウンロードしてからインポートするという処理ならできましたが、
どのオレオレ証明書のサイトでも自動でインポートしたい場合どうのようにしたらいいか解りません。

オレオレ証明書で構築されたhttpsで始まるURLを入力しただけで、
自動でインポートすることはできませんでしょうか？

わかりにくい説明で申し訳ございませんが、
どうぞよろしくお願い致します。

引用返信 編集キー/

■35204 / inTopicNo.2)

　Re[1]: SSL証明書のインポート

▲▼■

□投稿者/ 774RR (345回)-(2009/04/22(Wed) 10:33:09)

> オレオレ証明書で構築されたhttpsで始まるURLを入力しただけで、
> 自動でインポートすることはできませんでしょうか？

そんなことができたら ssl セキュリティシステムを回避して自在に偽サイトにつなげさせることができるわけで
できたらセキュリティホール、翌週にも緊急レベルの WindowsUpdate が出るレベルだと思うが・・・

引用返信 編集キー/

■35206 / inTopicNo.3)

　Re[2]: SSL証明書のインポート

▲▼■

□投稿者/ なちゃ (269回)-(2009/04/22(Wed) 11:04:59)

多分自作のアプリでそういう機能を持たすって意味じゃないですかね…
まあどっちにしてもあまり簡単に実行できるようにはしない方がいいと思いますが。

引用返信 編集キー/

■35207 / inTopicNo.4)

　Re[1]: SSL証明書のインポート

▲▼■

□投稿者/ .SHO (806回)-(2009/04/22(Wed) 11:13:54)

■No35203 (honey K さん) に返信

> オレオレ証明書で構築されたhttpsで始まるURLを入力しただけで、
> 自動でインポートすることはできませんでしょうか？

オレオレ証明書で構築されたhttpsで始まるURLを入力しただけでは
証明書の位置やファイル名が不明で、プログラムからどころか
手作業でも不可能です。

引用返信 編集キー/

■35209 / inTopicNo.5)

　Re[2]: SSL証明書のインポート

▲▼■

□投稿者/ honey K (2回)-(2009/04/22(Wed) 11:25:20)

■No35204 (774RR さん) に返信
>>オレオレ証明書で構築されたhttpsで始まるURLを入力しただけで、
>>自動でインポートすることはできませんでしょうか？
>
> そんなことができたら ssl セキュリティシステムを回避して自在に偽サイトにつなげさせることができるわけで
> できたらセキュリティホール、翌週にも緊急レベルの WindowsUpdate が出るレベルだと思うが・・・

774RR様、早速のご返信ありがとうございます。

プログラム以外の知識も乏しく申し訳ございません。
そんな悪意のあるものを作りたかったわけではなかったのですが…(汗)
単に
http://www.geocities.jp/k3_makochin/ssl_install.html
この操作をプログラムで行いたかっただけなんです。

証明書の内容を一度表示させて確認させるなどしてでもできませんでしょうか？
これならおそらく手動でインポートする目的と近いのではないかと思われるのですが…

引用返信 編集キー/

■35211 / inTopicNo.6)

　Re[3]: SSL証明書のインポート

▲▼■

□投稿者/ honey K (3回)-(2009/04/22(Wed) 11:29:04)

■No35206 (なちゃさん) に返信
> 多分自作のアプリでそういう機能を持たすって意味じゃないですかね…
> まあどっちにしてもあまり簡単に実行できるようにはしない方がいいと思いますが。
>

なちゃ様、早速のご返信ありがとうございます。

> 多分自作のアプリでそういう機能を持たすって意味じゃないですかね…
その通りでございます。

> まあどっちにしてもあまり簡単に実行できるようにはしない方がいいと思いますが。
そうですか…証明書を一度表示させて確認させる…でもダメですかね…

引用返信 編集キー/

■35213 / inTopicNo.7)

　Re[2]: SSL証明書のインポート

▲▼■

□投稿者/ honey K (4回)-(2009/04/22(Wed) 11:32:56)

■No35207 (.SHO さん) に返信
> ■No35203 (honey K さん) に返信
>
>>オレオレ証明書で構築されたhttpsで始まるURLを入力しただけで、
>>自動でインポートすることはできませんでしょうか？
>
> オレオレ証明書で構築されたhttpsで始まるURLを入力しただけでは
> 証明書の位置やファイル名が不明で、プログラムからどころか
> 手作業でも不可能です。
>

.SHO様、早速のご返信ありがとうございます。

> 証明書の位置やファイル名が不明で、
やはり不明なんですね…、
アクセスすると証明書の内容が表示されるということは何か取得する方法があるのかと期待してたのですが…

引用返信 編集キー/

■35216 / inTopicNo.8)

　Re[3]: SSL証明書のインポート

▲▼■

□投稿者/ なちゃ (270回)-(2009/04/22(Wed) 11:45:25)

SSLのハンドシェイク時に送られてきます。
例えばSslStreamを使ってコネクションの確立を試みると流れ上取得できたはずです。

引用返信 編集キー/

■35218 / inTopicNo.9)

　Re[3]: SSL証明書のインポート

▲▼■

□投稿者/ 774RR (346回)-(2009/04/22(Wed) 11:50:47)

具体的に「なぜ」したいのか良くわからんけど
・オレオレ証明書を(半)自動インストールするソフトを作りたい
っつーことなら、お勧めしない。
善意で作ったにせよ、悪用される可能性があるから。
俺ならそんなソフトは rootkit 扱い＝セキュリティソフトベンダーに連絡して即刻 Quarantine 送りにする

サイトオーナーに連絡して SSL を正しく運用してもらえばいいんぢゃないの？
ないしは、ユーザーに手動で証明書のインストールしてもらえばいいわけで。
# と書くと高木先生がツッコミいれてくるだろうな・・・

＞なちゃさん
こういう話題ってセキュリティシステムの回避方法、にあたるわけで
「可能か不可能か」ではなくて「すべきか、すべきでないか」からはじめるほうがいいと思うけど・・・

引用返信 編集キー/

■35220 / inTopicNo.10)

　Re[4]: SSL証明書のインポート

▲▼■

□投稿者/ honey K (5回)-(2009/04/22(Wed) 12:16:36)

■No35216 (なちゃさん) に返信
> SSLのハンドシェイク時に送られてきます。
> 例えばSslStreamを使ってコネクションの確立を試みると流れ上取得できたはずです。
>

なちゃ様

そうなんですか！
ありがとうございます！
参考にさせていただきます。

引用返信 編集キー/

■35221 / inTopicNo.11)

　Re[4]: SSL証明書のインポート

▲▼■

□投稿者/ honey K (6回)-(2009/04/22(Wed) 12:19:49)

■No35218 (774RR さん) に返信
> 具体的に「なぜ」したいのか良くわからんけど
> ・オレオレ証明書を(半)自動インストールするソフトを作りたい
> っつーことなら、お勧めしない。
> 善意で作ったにせよ、悪用される可能性があるから。
> 俺ならそんなソフトは rootkit 扱い＝セキュリティソフトベンダーに連絡して即刻 Quarantine 送りにする
>
> サイトオーナーに連絡して SSL を正しく運用してもらえばいいんぢゃないの？
> ないしは、ユーザーに手動で証明書のインストールしてもらえばいいわけで。
> # と書くと高木先生がツッコミいれてくるだろうな・・・
>
> ＞なちゃさん
> こういう話題ってセキュリティシステムの回避方法、にあたるわけで
> 「可能か不可能か」ではなくて「すべきか、すべきでないか」からはじめるほうがいいと思うけど・・・

774RR様、アドバイスありがとうございます。

具体的にはWebDAVサーバ（SSL付）に接続できるソフトを作りたかった次第です。
MozillaのSunbirdというソフトや、
goodsyncというソフトはオレオレ証明書のWebDAVサーバでもインポート（取得？）できたので、
そういった処理は「すべきではない」とまではいかないものだと思ってしまいました。
安易に質問してしまい申し訳ございませんでした。

引用返信 編集キー/

■35224 / inTopicNo.12)

　Re[5]: SSL証明書のインポート

▲▼■

□投稿者/ 774RR (347回)-(2009/04/22(Wed) 13:15:53)

SSL ってなんぞや、に対する勘違いがサイトオーナー側にある例なわけか・・・
SSL は「転送データを暗号化して他人が覗けないようにする」機能であると勘違いしているわけだ
それはあくまで SSL の機能の一部

SSL (https) は正しく運用されれば「相手先が本当にそのサイトかどうか」を検証する機能もある。
オレオレ証明書では相手先の検証機能が働かないので意味が無い、っつこと。
オレオレ証明書を使ったのでは中間者攻撃を受けうる。

中間者攻撃等のリスクを負ったうえで、オレオレ証明書を信じて通信するかどうかはユーザーの選択次第
IE/Firefox 等はリスクがある通信はしない方向に挙動を振っている
俺が使ったこと無いその Sunbird や goodsync はユーザの指示に従うほうを優先してるだけだろう。

何をどこまで信じるのかはユーザーに任せればいい、んぢゃねぇの？
オレオレ証明書を信じるもよし。信じないもよし。（俺なら信じないけど）
信じるユーザは自己リスクで先に進んでよし、とアナウンスする程度にとどめておくべきだろう。
勝手にオレオレ証明書をインストールするソフトってのは悪質だと思うぞ。

引用返信 編集キー/

■35225 / inTopicNo.13)

　Re[6]: SSL証明書のインポート

▲▼■

□投稿者/ なちゃ (271回)-(2009/04/22(Wed) 13:48:50)

単に企業の内部システムとかの話かなと思ったんですけどね。
一般向けに配布とか公開サイトを対象にするなんてのは最初から想定してませんでした。
#そういう意図ではないと感じたから

まあ最初に書いたように内部にしたって良い方法とは思いませんが。

引用返信 編集キー/

■35226 / inTopicNo.14)

　Re[6]: SSL証明書のインポート

▲▼■

□投稿者/ honey K (7回)-(2009/04/22(Wed) 13:54:55)

■No35224 (774RR さん) に返信
> SSL ってなんぞや、に対する勘違いがサイトオーナー側にある例なわけか・・・
> SSL は「転送データを暗号化して他人が覗けないようにする」機能であると勘違いしているわけだ
> それはあくまで SSL の機能の一部
>
> SSL (https) は正しく運用されれば「相手先が本当にそのサイトかどうか」を検証する機能もある。
> オレオレ証明書では相手先の検証機能が働かないので意味が無い、っつこと。
> オレオレ証明書を使ったのでは中間者攻撃を受けうる。
>
> 中間者攻撃等のリスクを負ったうえで、オレオレ証明書を信じて通信するかどうかはユーザーの選択次第
> IE/Firefox 等はリスクがある通信はしない方向に挙動を振っている
> 俺が使ったこと無いその Sunbird や goodsync はユーザの指示に従うほうを優先してるだけだろう。
>
> 何をどこまで信じるのかはユーザーに任せればいい、んぢゃねぇの？
> オレオレ証明書を信じるもよし。信じないもよし。（俺なら信じないけど）
> 信じるユーザは自己リスクで先に進んでよし、とアナウンスする程度にとどめておくべきだろう。
> 勝手にオレオレ証明書をインストールするソフトってのは悪質だと思うぞ。

774RR様

解り易い説明ありがとうございました。納得しました。
確かに「勝手に」は行き過ぎですね…。

引用返信 編集キー/

■35227 / inTopicNo.15)

　Re[7]: SSL証明書のインポート

▲▼■

□投稿者/ なちゃ (272回)-(2009/04/22(Wed) 13:57:25)

あ、それと、２つ目のSslStreamの話は、単なる技術的な話を書いただけというのと、
もし独自のクライアントを作るとかの話になるなら、
必ずしもマシンにインポートする必要はないことに気づくかと思ったからというのもあります。

引用返信 編集キー/

■35228 / inTopicNo.16)

　Re[7]: SSL証明書のインポート

▲▼■

□投稿者/ honey K (8回)-(2009/04/22(Wed) 14:00:52)

■No35225 (なちゃさん) に返信
> 単に企業の内部システムとかの話かなと思ったんですけどね。
> 一般向けに配布とか公開サイトを対象にするなんてのは最初から想定してませんでした。
> #そういう意図ではないと感じたから
>
> まあ最初に書いたように内部にしたって良い方法とは思いませんが。
>

なちゃ様

人様に配布なんてお恥ずかしい限りの初心者です。
自分で使うだけでございます。
色々勉強になります、ありがとうございます。

引用返信 編集キー/

トピック内ページ移動 / << 0 >>

このトピックに書きこむ

過去ログには書き込み不可

- Child Tree -