2024-01-13

サーバー証明書とは

概要 -サーバー証明書とは-

別名「SSL/TLS証明書」
大きな役割は2つ
- 通信の暗号化
- Webサイトの運営者・運営組織の実在証明
「認証局 (CA: Certificate)」と呼ばれる組織が発行する

サーバー証明書の種類

Domain Validation (DV) 証明書
- 証明書の申請者が「ドメイン名の管理者」であることを確認する
- 比較的手軽に発行できるが、組織を認証しているわけではないためWebページを表示するときに組織名が表示されない
- つまり、似たドメイン名でも申請すれば発行してもらうことができ、フィッシング詐欺などに利用される恐れあり
Organization Validation (OV) 証明書
- 組織の実在性を証明してくれるので、DV証明書よりも信頼性が高い
Extended Validation (EV) 証明書
- OV証明書よりも (CA/Browser Forum の基準に基づく) 厳密な認証を行う
- 金融機関などより高い信頼性が求められる組織において使用されることが多い
- Webブラウザのアドレスバーが緑色になるやつ

サーバー証明書の構成

ルート証明書・・・最上位の証明書
中間CA証明書・・・間に挟まっている証明書 (通常は1 〜 2つ)
サーバー証明書・・・ドメインに紐づく証明書

例

Example CA Root X1
- Example CA intermediate G2
  - example.jp

exmaple.jp の証明書は Example CA intermediate G2 によって署名されている。
Example CA intermediate G2 は Example CA Root X1 で署名されている。
Example CA Root X1 はクライアント端末の中 (基本的に OS) に保存されている。

※サーバー証明書として「オレオレ証明書」を利用する場合や閉域網などクライアントがルート証明書の更新ができない環境の場合、クライアントにルート証明書をインストールする必要がある。

サーバー証明書発行の流れ

CSR (証明書署名要求ファイル) の作成を行う
認証局へ申し込みを行う
認証局が審査・認証を行う
認証局からサーバー証明書が発行される

認証局の信頼性

各種ブラウザの「信頼されたルート証明書」の設定内容に依存する。
認証局の管理体制や運用状況などの確認は必要かも。

SSL/TLS暗号化通信の流れ

SSL/TLSハンドシェイククライアント・サーバー間で暗号化アルゴリズムの合意をとる。
サーバー証明書の提示サーバーからクライアントへサーバー証明書を送信する。
クライアント (ブラウザ) がサーバー証明書の確認をする。
共通鍵の元データ交換・共通鍵の生成クライアントが共通鍵の元となるデータを作成する。
SSL/TLS証明書の公開鍵で暗号化して、サーバーに共通鍵の元となるデータを送信する。
クライアント-サーバーで同じデータから同じ共通鍵を作成する。
SSL/TLS暗号化通信の開始クライアント-サーバー間で同じ共通鍵を使用して通信を開始する。

参考

2024-01-13

DNSについて

概要 -DNSとは-

ドメインネームシステムの略
ドメイン名とIPアドレスの紐付け (名前解決) を行う機能、サーバーのこと。

ドメイン

www.lpi.or.jp. において...
- www・・・ホスト名
- 「lpi」「or」「jp」「.」・・・ドメイン (右に行くほど上位ドメイン)
- 「.」はルートドメインといい、URL的には省略されている。

DNSサーバーの種類

権威サーバー
- ドメイン名とIPアドレスの対応情報を保持しているDNSサーバーのこと。
- サーバー上にゾーンを作成する必要がある。
- 自分で構築することも可能だが、レジストラ (ドメイン登録権限のある業者) のものを利用するのが一般的。
- 権威サーバーにはゾーンの情報を実際に持っている「マスター」とマスターのデータをコピーする「スレーブ」がいる。
キャッシュサーバー
- ユーザーから名前解決の問い合わせを受け付け、ユーザーの代理で他のDNSサーバーへ問い合わせを行うDNSサーバーのこと。
- OSに設定しているDNSサーバーはこちらの意味。
- 名前解決の結果を一定期間「キャッシュ（保管）」する機能も備えているので、すぐに答えを返せることもある。

ゾーン

ドメイン名とIPアドレスの対応づけが行われている情報 (データベース) のこと。
管理されている情報の範囲をゾーンと呼ぶ場合もある。
権威サーバーは「ゾーン」と呼ばれる単位でドメイン内に存在する複数のDNSレコードをまとめて管理している。

DNSレコード

SOA・・・そのゾーン自体の情報を表す。
A・・・・ドメイン名に対応するIPv4アドレスを表す。
AAAA・・ドメイン名に対応するIPv6アドレスを表す。
NS・・・そのドメインの権威サーバーを表す。
MX・・・そのドメインのメールサーバーを表す。
CNAME・・ドメイン名に別名をつける。
TXT・・・任意のテキスト情報を記録する。
PTR・・・ドメイン名からIPアドレスを調べる通常の名前解決(正引き)とは逆に、IPアドレスからドメイン名を調べる(逆引き)。

DNSによる名前解決の仕組み (「pfs.nifcloud.com」のドメインにアクセスする場合)

ブラウザが入力されたURLからドメイン名を抽出する。
ブラウザがOSの名前解決機能 (リゾルバ) にドメイン名の名前解決の依頼を行う。
OSのリゾルバは設定されているDNSサーバー (キャッシュサーバー) に名前解決を依頼する。
キャッシュサーバーはまずルートサーバーに問い合わせを行う。
1. ルートサーバーは「.com」ドメインの権威サーバーのIPアドレスを知っているため、このIPアドレスを回答する。
キャッシュサーバーは「.com」ドメインの権威サーバーに問い合わせを行う。
1. 「.com」権威サーバーは「nifcloud.com」ドメインの権威サーバーのIPアドレスを知っているため、このIPアドレスを回答する。
キャッシュサーバーは「nifcloud.com」ドメインの権威サーバーに問い合わせを行う。
1. 「nifcloud.com」ドメインの権威サーバーは自身のサブドメインである「pfs.nifcloud.com」のIPアドレスの情報を持っているため、このIPアドレスを回答する。
キャッシュサーバーはリゾルバに回答を行う。
ブラウザはIPアドレスに対してリクエストを行いアクセスする。

参考

2024-01-12

ドメインについて

ドメインとは

IPアドレスと対応づけられた名前みたいなもの。
WebサイトのURLやメールアドレスに使われる。
- Webサイト・・・http://www.xxx.com の「xxx.com」の部分。
- メルアド・・・info@xxx.com の「xxx.com」の部分。

ドメインの種類「ccTLD ドメイン」と「gTLDドメイン」の分類

ccTLDドメイン
- 「.jp」などその国 (カントリー) でしか使えないドメイン。さらに2つに分けられる。
gTLDドメイン
- 「.com」や「.net」など世界　(グローバル) で使えるドメイン。

ccTLD ドメインの汎用JPドメインと属性JPドメイン分類

ccTLD ドメインは「汎用JPドメイン」と「属性JPドメイン」に分類される。

汎用JPドメイン・・・「.jp」の前に好きな文字列を設定できる。原則1つの組織で1つしか持てない。
属性JPドメイン・・・「.jp」の前に来る文字列が指定されている。「co.jp」や「.ne.jp」など

ドメインの種類「独自ドメイン」と「サブドメイン」の分類

独自ドメイン
- ドメインを別会社に移行して引き継ぐことができる。
- 取得可能なメールアドレス数に制限がなくなる。
- SEO価値が高まる。
サブドメイン
- 独自ドメインを分割して割り振ったドメイン。
- xxx.com に対して yyy という文字列を追加し、「yyy.xxx.com」としたもの。
- サーバー証明書はサブドメインごとに必要。

ドメインを取得する手順

ドメイン名を決める
ドメインを取得する
ネームサーバーの申請を行う
ドメインの更新を行う

1. ドメイン名を決める

まずはURLの最後の文字列「トップレベルドメイン」を決める。(.com など)
トップレベルドメインを決めたら、独自ドメイン名を決める。

2. ドメインを取得する

レンタルサーバー会社かドメイン専門会社 (レジストラまたは業者) で取得できる。
ドメインを取得する際、契約者の情報をwhoisというデータベースに公開する必要がある。
- ドメイン専門会社の情報を代わりに登録する「whois代理公開」というサービスもある。

3. ネームサーバーの申請を行う

ドメインとDNSサーバーを紐づけるためにネームサーバーの申請が必要になる。
おそらく権威サーバーにドメインの登録を依頼するということ。
- ドメインとどのIPを紐づけるかみたいな。

4. ドメインの更新を行う

通常は1年ごとに更新となる。
ドメインによって更新手続きの猶予期間が異なるので管理しておくこと。