Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2016年4月18日

一部の IT ベンダーは自分が認証局になって SSL/TLS 証明書を発行しているみたい

Gmail の SSL/TLS 証明書の認証情報を確認していて気がついたのですが、一部の IT ベンダーは自分が認証局になって SSL/TLS 証明書を発行しているっぽいですね。

いくつか見てみましょう。

まずは、Google の Gmail で使用されている SSL/TLS 証明書の認証情報です。

発行元が Google Inc になっていて、しかもワイルドカード認証になっていますね。これなら google.com ドメインの全てのサービスで利用できるので、管理コストも押さえることができそうです。

Google

 

次は、Microsoft の outlook.com の SSL/TLS 証明書の認証情報を見てみましょう。ドメインが outlook.live.com になっていますね。Microsoft はワイルドカード証明書にはしていないようですね。

Microsoft

 

Oracle も独自に認証局を持っているようです。

Oracle

 

一方、Apple と Amazon は外部の認証局を利用していますね。Amazon あたりは Amazon Web Services というクラウドサービスを持っているのですから独自に認証を受けていても不思議はないのですが何か理由があるのでしょうか。

Apple

Amazon

 

他にも、Twitter, Facebook, Dropbox, Evernote, Box, Yahoo! Japan, Yahoo!, LinkedIn, IBM なども調べてみましたが、外部に認証局から SSL/TLS 証明書を取得していました。

Google、Microsoft、Oracle といった一部の巨大資本のみが独自に認証局を持っているようです。

これが意味するところは、認証局になるにはかなりお金がかかるのでしょうが、クラウドサービスを提供している大手 IT ベンダーは独自に認証局を持ったほうがコストを押さえられるということなのでしょうね。

ただ、セキュリティ的にですが、自分で自分を認証したものは SSL/TLS 証明書としては正しいけれども、信用できるものなのかという疑問が残ります。第三者が認証することによって SSL/TLS 証明書は意味を持つのではないでしょうか。


スポンサーリンク




カテゴリー:ブログ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA