web-dev-qa-db-ja.com

個人WebサイトのSSL証明書はどこで入手できますか?

Httpsを使用して、個人のWebページ(共有ホスティングにあります)にログインしたいと思います。それで私はグーグルに行き、溶液を探し始めました。最終的に私はそれを達成するためにSSL証明書が必要であることを知りました(すべてのWebサイトで自動的に有効になるものだと思っていましたが、理由は聞かないでください)。

次に、ホスティングプロバイダーのWebサイトにアクセスして、これらの証明書の価格を確認しました...しかし、ブログにはそのようなものは必要ありません...証明書は自己署名または取得できることも知りました特定の認証局から無料で。

私は何を思っているのですか-これにどのように取り組むべきですか?
そこにログインしているのは私だけなので、自分の証明書を生成する必要がありますか?または、CAから無料のものを入手しますか?はいの場合-どのCA? cacert 多分?これはすべてこの方法で透過性を維持しますか、それともカスタムの未検証の証明書に関する警告を受け始めますか?このようなソリューションを信頼できますか?

共有ホスティングを使用している場合、このようなことを試してみるのも理にかなっていますか?つまり、私が読んだことから、この証明書はサーバーにインストールする必要があり、ホスティングフォルダーのどこかに置くだけでなく(機能すると思いました)、ホスティングプロバイダーはこれを行いません。それは彼らの興味に少し関係ないので無料だと思います(とにかく私は彼らに尋ねて、返事を待っています)...

落とすだけですか、それとも自分でできることはありますか?

36
pootzko

無料の証明書に StartCom を使用するのが好きです。 2016年半ばまでは ほとんどの主要なブラウザで認識され、自己署名証明書を使用するよりも優れています(ユーザーにエラープロンプトは表示されません)。

2016年を編集MozillaApple 、および Google などの主要なブラウザベンダーは、StartComを認証局として信頼しないことを発表しました。証明機関による最近明らかになったおおまかな動作へ(これとその理由の発表については、ベンダー名のリンクを参照してください)。

Edit 2017Let's Encrypt は個人用の優れたオプションになり、StartSSLよりも広く受け入れられているようです。 Let's Encryptの短所は、証明書の有効期間が比較的短い(3か月)ことですが、ツールの一部を通じて提供される自動更新を利用できれば、それほど負担にはなりません。

38
jhulst

SSL証明書を購入する(そしてrsa/dsaキーを購入しない)唯一の理由の1つは、信頼関係のためです。

自己署名SSL証明書をブラウザーに安全にインポートし、WebサーバーにSSL証明書をインストールできる場合は、他人を関与させる必要はありません。

詳細については、 AviDによるSSLの包括的な説明 を参照してください。 SSLが提供するもの:

* It encrypts the channel
* It applies integrity checking
* It provides authentication

自己署名証明書を使用すれば、これら3つすべてを取得できますが、3番目の機能を取得するには、エンドポイントに証明書を安全にインストールする必要があります。

11
Bradley Kreider

検討する必要があるのは、共有ホスティングでSSLを使用できるかどうかです。一意のIPアドレスを取得していない場合(VPSプランなどで)、SSLを機能させるのは難しい作業です。

従来、SSLはホスト名ごとではなくIPごとに処理されていたため、名前付きの仮想ホスティング(ほとんどのローエンドのWebホスティングプラン)を使用している場合、各サイトに一意の証明書を割り当てることはできません。これは現在 [〜#〜] sni [〜#〜] で可能ですが、ホスティング会社とブラウザがサポートしていることを確認する必要があります。

7
Rory McCune

最近から、無料の自動化されたオープンCAである Let's Encrypt から無料の証明書を取得することもできます。

7
pootzko

CACert は、すでに述べたように、SSL証明書に適しています。CACertCA証明書を持っている人がかなりいるため、自己署名証明書を使用するよりも少し便利な場合があります。彼らのブラウザにインストールされ、彼らは信頼の物理的なウェブを構築することで非常に大きいです。

4
Andy Smith

共有ホスティングプロバイダーは、証明書をインストールする必要があります。 自己署名証明書 を作成できますが、共有プロバイダーがインストールするかどうかはわかりません。これらは同じレベルのセキュリティを提供しますが、認証局に登録されていないため、ブラウザに警告が表示されます。

VPSまたはマネージドVPSがある場合は、自己署名証明書を自分でインストールできます。あなたはあなたのプロバイダーに電話するか、彼らがより安いサードパーティの証明書を受け入れるかどうか見ることができます(goDaddyは$ 12のようなものです)。

このログインを管理目的(ブログへのコンテンツの追加など)にのみ使用していて、プロバイダーへのSSHアクセスがある場合は、SSHを介してホストにトンネルし、localhostからサイトにアクセスして、資格情報が送信されないようにすることができますインターネット経由。

3
Matt Garrison