アカウント名:
パスワード:
一番正しいのはオレオレも弾くってのだろうけど、それはそれで現実的で無いし。
つーか、真っ当な機関なら失効しない様にちゃんとチェックしとけ、ってだけで良いんでない? 失効に対してオレオレ証明も用意しないんであれば、そりゃ見てもらう前提では無いって事で。
第三種オレオレ証明書 不特定多数に利用させることを想定していて、ルート証明書かサーバ証明書をインストールするよう促しており、安全なインストール方法が用意されているもの。
その場合は使っちゃ駄目なんだから、やはりブラウザが「そのまま使う 事ができるというのは」間違っているでしょ。
警告が表示されたとしても、利用者が正しく検証する事ができるのならば 全く問題は有りません。 逆に警告が表示されないとしても、その証明書が信頼できる物とは限りません。 絶対的に正しい指標であるとは思いませんし、逆に警告が表示されればNG、 警告が表示されなければOKというのは、明らかに間違った認識だと思います。
逆に警告が表示されないとしても、その証明書が信頼できる物とは限りません。
絶対的に正しい指標であるとは思いませんし、逆に警告が表示されればNG、 警告が表示されなければOKというのは、明らかに間違った認識だと思います。
馬鹿の典型。勝手に自己陶酔してれば?
どうしても悪のイメージを付けたいなら、「信頼できる認証経路を経ていない自己署名証明書」にレッテルを貼れ。 自己署名証明書全てにレッテルを貼るな。
所謂「オレオレ証明書」はプライベートCAが発行した証明書を指しています。
ダウト。勝手に定義を拡張しないでください。話が混乱するから。
オレオレ証明書の区分 改訂版 [takagi-hiromitsu.jp]
PKIよくある勘違い(3)「プライベート認証局が妥当ならオレオレ認証局も妥当だ」 [takagi-hiromitsu.jp]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
正しいんでは? (スコア:2, 興味深い)
一番正しいのはオレオレも弾くってのだろうけど、それはそれで現実的で無いし。
つーか、真っ当な機関なら失効しない様にちゃんとチェックしとけ、ってだけで良いんでない?
失効に対してオレオレ証明も用意しないんであれば、そりゃ見てもらう前提では無いって事で。
Re:正しいんでは? (スコア:1, フレームのもと)
Re:正しいんでは? (スコア:1, おもしろおかしい)
Re:正しいんでは? (スコア:2, 興味深い)
信用できないのは自分以外の他者が作ったオレオレ証明書を使わざる得ない場合です
故に自分しか使わないVPNとかWebの証明書にオレオレを使っても問題ありません
公開鍵証明書のコピーはネットワーク経由でなくUSB等で行う事によりさらに安全度アップです
までよ、自分自身で作ったオレオレ証明書が信用できない人って言うのは
もしかして自分が一番信用できないって事なのかな?
Re:正しいんでは? (スコア:1, 興味深い)
いや、会社でちょっとした通販をやってるのですが、
「個人情報をhttpで送るのはだめだ。httpsにしろ」ってしつこく要求する
クレーマーがいたもので、逃げてオレオレ証明書導入。
ちなみに、申し込まれた時には(発送先住所なども含めた)内容確認のメールを出してたりするのですが
(その旨、申込み手順のページにも説明してる)そっちにクレームが付いたことはないですね…
おまいらSSLって言いたいだけちゃうんか、と
Re:正しいんでは? (スコア:1)
これ、メールは途中で誰かに見られる可能性があるということとは別に、
申込者が自分のメールアドレスを間違えてたりすると第三者に個人情報漏洩という
事態になり、いろいろ面倒なので、まんま情報を返すのはやめたほうがいいです。
アドレスを間違えた奴が悪いにしても。
Re:正しいんでは? (スコア:0)
いや出してないですけどね。
それにしても、WebだけSSLで安全を標榜されるのもあれですなあ。
Re:正しいんでは? (スコア:0)
回りくどい経路をたどるsmtpを狙うのとターゲットに直接繋ぐhttpを盗聴するのでは、後者が格段に楽だし。
素人にも分かりやすい危険ってことで、そこを見栄えよく取り繕うのが客商売ってもん。
まあいいじゃない。
うちなんて、誰もSSLに対応できなかったからサービス止めちゃったよ…。
Re:正しいんでは? (スコア:0)
Re:正しいんでは? (スコア:3, すばらしい洞察)
Re:正しいんでは? (スコア:5, 参考になる)
>暗号化をしてるかもしれない。セキュリティ上何の意味もないです。
はい、確かにその通りです。
しかし
>オレオレ証明書であれば、SSL的には"何も"意味ないですけどね。。。(#1144044 [srad.jp])
は誤りです。
確かに不特定多数が利用するWebサイトでは、信頼できない証明書を用いた
SSL通信にセキュリティ上の効果は認められないと思います。
しかし全てのWebサイトが不特定多数を対象としている訳では有りません。
所謂「オレオレ証明書」はプライベートCAが発行した証明書を指しています。
しかし自らの責任で発行した証明書や、自組織内で用いる事を前提として発行
された証明書など、必ずしも全ての証明書の信頼性をオンラインで確認しなければ
ならないという物では有りません。
実社会の証明書にもパスポートや運転免許証など公的に信頼される必要が有る物と、
社員証や会員証など閉じられた範囲内で信頼できれば良い証明書が有ります。
閉じられた範囲内で信頼できれば良い証明書を発行する事が目的なのに、全くの
第三者が認証局の信頼性を確認するための認証運用規定を定めて公開しなければ
ならないというのでは、全く馬鹿げた話だとしか思えません。
もちろん高木さんはそのような事を言っているのではないと思います。
広く一般を対象としたWebサイトで「オレオレ証明書」を使う事に対して警鐘を
鳴らしているのであって、全てのSSL通信を対象としているのではないと思います。
その一方で、明示的に失効させた証明書は理由の如何に関わらず信頼できません。
証明書の有効期限内にも関わらず、用いてはいけないという事象が発生したから
失効させるのであって、特定の用途では意味が有る「オレオレ証明書」とは
全く異なると思います。
IEはインターネットで用いるとは限らない訳ですから、失効された証明書は全く
信頼しないが、プライベートCAが発行した証明書は場合によってはそのまま使う
事ができるというのは、私も間違っているとは思えません。
この点において今回の高木さんの意見には同意しかねます。
Re:正しいんでは? (スコア:1, 興味深い)
ここに異議あり。オレオレはプライベートCAが発行していて、なおかつネット経由でそのCAをインストールしてこようとするもの、でしょう。ローカルなマシンに別の手段でインストールするものはオレオレと呼ばれていないはずですが。
Re:正しいんでは? (スコア:1, 参考になる)
>ここに異議あり。ローカルなマシンに別の手段でインストールするものはオレオレと呼ばれていないはずですが。
http://takagi-hiromitsu.jp/diary/20051118.html [takagi-hiromitsu.jp]
この件の大家は第3種に認定していますね
第4種の一部も含まれるかもしれない
というわけで異議も認められませんし 意義も認められません
Re:正しいんでは? (スコア:0)
その場合は使っちゃ駄目なんだから、やはりブラウザが「そのまま使う 事ができるというのは」間違っているでしょ。
Re:正しいんでは? (スコア:2, 興味深い)
>インストールしていない状態だから警告が出るわけでしょ?
はい、それは正しいと思います。
ただし認証局の証明書を一度信頼できる物としてインストールしたら、
その認証局が発行したサーバ証明書は全て警告が表示されなくなります。
「その認証局が今後発行される全ての証明書を信頼して良いのか?」という事を
決断できないのならば、その認証局の証明書はインストールするべきとは思えません。
# IEでは認証局の証明書を導入する事はできますが、
# (少なくとも以前のバージョンでは)サーバ証明書を信頼する物として
# インストールする事はできなかったと思います。(未確認)
>その場合は使っちゃ駄目なんだから、やはりブラウザが「そのまま使う
>事ができるというのは」間違っているでしょ。
いいえ、それは正しいとは思えません。
ブラウザが警告を表示するのは、あくまでも証明書の表面的な検証に失敗した為です。
警告が表示されたとしても、利用者が正しく検証する事ができるのならば
全く問題は有りません。
# 逆に警告が表示されないとしても、その証明書が信頼できる物とは限りません。
利用者が正しく検証する事ができない事が判っているにも関わらず
「セキュリティの問題は有りませんのでご安心下さい」などと言う事は、
間違っていると思います。
しかし全く同じ証明書である事が判っているにも関わらず、ブラウザにインストール
しているか否か(警告が表示されるか否か)という違いで、その証明書の信頼度が変わる
というのは合理的とは思えません。
もちろん本人のスキルに強く依存する訳ですし、ユーザ教育が不可欠な事は言うまでも
有りません。まずユーザ教育の第一歩としては、警告が表示される証明書は信頼するな
というのも正しいと思います。
しかしそれが絶対的に正しい指標であるとは思いませんし、逆に警告が表示されればNG、
警告が表示されなければOKというのは、明らかに間違った認識だと思います。
Re:正しいんでは? (スコア:0)
馬鹿の典型。勝手に自己陶酔してれば?
Re:正しいんでは? (スコア:0)
Re:正しいんでは? (スコア:0)
Re:正しいんでは? (スコア:1)
いいえ、その論理は明らかに間違っています。
警告が表示されるというのは、安全に対する疑念が生じたために、
機械が人に対して何らかの判断と行動を促しているのです。
安全に対して機械が自動的に判断できて、警告が表示されても盲目的に
人が警告を信用して良いのなら、最初から警告を表示させることなく、
自動的に安全側へシフトすれば良いのです。違いますか?
またWebブラウザが警告画面を表示する仕組みを知っていれば、警告画面が
表示しなければOKという考えが、浅はかであるという事は明白です。
Webブラウザは大雑把に言えば
・受け取った証明書に記載されたドメイン名が一致する(サーバ証明書のみ)
・受け取った証明書の電子署名を検証
・受け取った証明書の有効期限を検証
・受け取った証明書の失効情報を検証←これが今回の話題
という事をサーバ証明書とそれを発行した認証局の証明書に対して実施し、
その検証パスがWebブラウザが認識している信頼ポイントまで全てきちんと
到達できた場合にその証明書を受け入れ、何れかに失敗した場合に警告が
表示されます。
# 何か忘れていないかな…
Webブラウザが認識している信頼ポイントとは、Webブラウザにインストール
されている認証局の証明書の事を指します。Webブラウザにインストール
されている認証局とは、原則としてWebTrast for CAという認証を取得した
認証局です。
WebTrast for CAの認証を取得するためには、認証運用規程の公開やその遵守、
監査の実施など様々な事項に合格しなければなりませんが、証明書を発行する
対象を実在する法人/個人に限るとは定められていないはずです。
それは認証局が自ら定め認証運用規程で公開しなければなりませんが、その
認証方針が信頼に足るかどうかを判断するのは利用者に委ねられているはずです。
# 間違っていれば指摘して下さい。
# <余談>
# この辺りの認証方針を明確に定め、間違いなく実在する法人に対して
# 発行された事を保障するのが、EVSSL証明書という訳です。
# </余談>
つまりWebブラウザが表示する警告画面とは、公開鍵証明書のデータに対して
信頼ポイントからの信頼チェーンに不整合が生じているという事が表示される
だけです。その証明書がどのような認証方針に従い発行されたのかという事は、
全く検証されません。
あなたがhttpsであるWebサイトを参照したとします。
Webページには自分がアクセスしようとした会社の名前が記載されています。
警告画面は表示されませんでした。
しかしもしあなたが「これなら大丈夫だ」と判断したのなら、フィッシング
サイトに騙される恐れは十分に考えられると思います。
なぜならそのページで用いられた証明書が、正しく実在する個人/法人に対して
発行されたとは限りません。確かにそのサイトのドメイン名と証明書は一致して
いますが、そのWebサイトが本当にWebページに表示された会社が運営している
とは限りませんし、たとえWhois情報を確認したとしても、Whoisではドメイン名
の登録者は表示されても、運営者までは表示されません。
>馬鹿の典型。勝手に自己陶酔してれば?
私が「馬鹿の典型」だと仰るのでしたら、
「警告が表示されればNG、 警告が表示されなければOK」という事に対して、
具体的な根拠を示して下さい。
Re:正しいんでは? (スコア:1)
> 「警告が表示されればNG、 警告が表示されなければOK」という事に対して、
SSLつーかPKIはそれ以上のことを保証するものなの?
# ごめんね。この辺勉強したこと無いんだ。
Re:正しいんでは? (スコア:1)
何を信頼するのか、どういう基準で信頼するのかというのは、利用者それぞれの基準で
判断される物です。ですから自組織で運営する認証局を自分の信頼ポイントとする事は、
PKIとしては全く問題は有りません。
ただhttpsに関しては、Webブラウザに予めインストールされている認証局が信頼ポイント
となっており、利用者が自ら判断した上で信頼するかどうか決定しているとは言えません。
ですからSSLの場合は例え警告が表示されなかったとしても、本当に自分の基準で信頼
できる物とは言えないと思います。
Re:正しいんでは? (スコア:0)
同じく、これをふまえても高木氏の今回の指摘には賛同できないですけどね。
Re:正しいんでは? (スコア:2, 興味深い)
>区分なぞいろいろ考えてますよ。
はい、それは存じております。
オレオレ証明書というふざけた名前は別として(笑)、
流石に十羽一絡げにはしていないですよね。
>同じく、これをふまえても高木氏の今回の指摘には賛同できないですけどね。
証明書の中身を確認するという事を全て否定されている点とか、
最近の高木さんの指摘は、これ以外にも賛同できない事が多いんですよね…。
ドメインスクワッティングされたドメインでフィッシングサイトを開かれたら、
証明書の内容を確認する以外にどうやって本物かどうか確認する手段が有るのだろう。
Re:正しいんでは? (スコア:1, 興味深い)
なんとなく間違っているというイメージを持たせる以外、技術的には何の意味も無いじゃん。
区分して説明しなくちゃいけない時点で破綻してるんだよ。
どうしても悪のイメージを付けたいなら、「信頼できる認証経路を経ていない自己署名証明書」にレッテルを貼れ。
自己署名証明書全てにレッテルを貼るな。
ルート証明書は自己署名証明書 (スコア:1)
自己署名証明書だというだけで、セキュリティ上問題があるという様に誤解されるのは困りますね。
そもそもルート証明書が自己署名証明書だったりするわけで (苦笑)
もちろん、まともに運用していれば、信用できる経路でルート証明書を入手しているはずですけど。
PKIよくある勘違い(8)「自分専用なのに第三者から証明書を買えというのはおかしい」 [takagi-hiromitsu.jp]等で述べられていますが、
Firefox ではルート証明書ではなくサイト証明書として、自己署名証明書をインストールできるようになっていましたが、
MSIE 7 では同等の機能は追加されたのでしょうかね?
この辺りの情報をしっかり追えていない私にも問題あるのでしょうけど
こういった情報ってなかなか収集しにくいのも大きな問題だと思います。
単なる臆病者の Anonymous Cat です。略してACです。
Re:正しいんでは? (スコア:0)
Re:正しいんでは? (スコア:0)
それはそれで別の話にすればいいんじゃね?
少なくとも[ヲレヲレ証明書]とかいう言葉よりは絶対にいいでしょ。
Re:正しいんでは? (スコア:0)
じゃあ書いてみなよ。書けないんだろ?
Re:正しいんでは? (スコア:0)
会社内などで利用するためのプライベートCAであれば、システム部門なんかが信頼できる証明書として組み込ませるとかするべきだと思う。
IE7は使ってないので組み込めるのかわからないけど。
Re:正しいんでは? (スコア:0)
ダウト。勝手に定義を拡張しないでください。話が混乱するから。
オレオレ証明書の区分 改訂版 [takagi-hiromitsu.jp]
PKIよくある勘違い(3)「プライベート認証局が妥当ならオレオレ認証局も妥当だ」 [takagi-hiromitsu.jp]
Re:正しいんでは? (スコア:1)
高木さんは検証パスを通らないのを「オレオレ証明書」と呼んでいるんですね。
パブリックな認証局が発行した物も「オレオレ証明書」になるんですねぇ。
一つ勉強になりました。
# ここで議論すべきは「オレオレ証明書」の定義では無いと思うのですが…。
Re:正しいんでは? (スコア:1, 参考になる)
なので第四者や第五者に盗聴される可能性はないと思うのですが。
Re:正しいんでは? (スコア:1)
中間者攻撃における中間者とは、本来の通信相手を成りすました第三者です。
第四者、第五者に盗聴される以前に、第三者に機密情報が漏洩した時点で
セキュリティが破綻しています。
Re:正しいんでは? (スコア:1, 参考になる)
元が「SSL的には」でしたので。
Re:正しいんでは? (スコア:1)
Re:正しいんでは? (スコア:0)
Re:正しいんでは? (スコア:0)
# 釣りで書いてるのか?
Re:正しいんでは? (スコア:1)
フリーソフトを HTTP でダウンロードするときも、「これって、改ざんされて、スパイウェアが埋め込まれている可能性があるよな」などと考えてしまいます。ファイルの MD5値を HTTP で確認しても意味ないし。そんなプログラムを実行してしまえば、何が起きるか全く分からないですよね。
この際、全て SSL を通すようにして欲しいと感じます。
それか、心の安らぎを得る方法を教えて欲しい。
(インターネットを使うなということか)
Re:正しいんでは? (スコア:1)
もともと何らかの形で巧妙にスパイウェアが埋め込まれている可能性はあると思うのですが。
1を聞いて0を知れ!
Re:正しいんでは? (スコア:1)
最近は他人のPCから自分のPCへ SSHでログインする場合も気を使います。セキュリティに関する技術が自分より低い人間の管理するPCからは、自分のPCへログインしません。
あまり色々考えると、どんどん不便になるので、それ以上考えるのは止めています。
ISOイメージのハッシュをHTTPSとかで確認すれば? (オフトピック) (スコア:1)
そのディスクイメージやパッケージのハッシュを(まともな)HTTPSのサイトで入手して確認すれば
それほど問題になるとは思いません。
もちろん、HTTPSのサイトがクラックされていないかとか、ハッシュアルゴリズムの脆弱性とか
色々と考え始めるとキリがないですけど。
セキュリティ的に甘そうなPCから自分のPCにSSH等でログインする場合は、
それように用意したアカウントにOTPでログインとかするのはどうでしょうか?
最近はOTP関連の情報が得られにくくなっているようで残念です。
あまり信頼できない端末からログインしたい場合とかは、それなりに使えそうな気がするのですが。
PDAやモバイルPC、携帯電話等の性能も上がっていますし、OTPを算出できる携帯機器も増えていて
公開鍵とOTPを使い分けやすい環境になりつつある気もしますけど、どうなのでしょうか?
単なる臆病者の Anonymous Cat です。略してACです。
Re:正しいんでは? (スコア:0)
中間者攻撃が行われる可能性はありますよ。
まさに#1144064の指摘通りに。
http://takagi-hiromitsu.jp/diary/20050327.html [takagi-hiromitsu.jp]
Re:正しいんでは? (スコア:1, 参考になる)
>太字で強調した部分が見えてないとか?
純粋にわからんので教えてください
・信用のおける通信路(たとえばUSBキー経由)で オレオレ証明書 を持ってきてインストールする
・持ってきたオレオレ証明書 と ネットワーク経由の証明書 が同じかどうかはブラウザが確認してくれる
・この場合は オレオレ証明書なサーバ ときちんと暗号化路でつながっている
というのは間違ってますか?
・信用のおける通信路(たとえばメモ用紙)で オレオレ証明書のフィンガープリント を持ってくる
・持ってきたフィンガープリント と ネットワーク経由の証明書のフィンガープリント が同じかどうかを目で確認する
・この場合は オレオレ証明書なサーバ ときちんと暗号化路でつながっている
というのは間違っていますか?
Re:正しいんでは? (スコア:1)
Re:正しいんでは? (スコア:0)
素人はSSL/TLS/PKI自体が何なのかさえわかってないから正しい証明書も意味がないのに。
Re:正しいんでは? (スコア:0)
>・持ってきたオレオレ証明書 と ネットワーク経由の証明書 が同じかどうかはブラウザが確認してくれる
信頼できる通信路で上位CAやサイト証明書(上で言ってるオレオレ証明書)を持ってきて、ブラウザにインストールして、ブラウザがきちんと確認できているならそれはオレオレ証明書ではないと思いますが。
そこで確認できない証明書がいわゆる「オレオレ証明書」でしょ。
# オレオレ証明書って言うのやめろよ [srad.jp] に同意
Re:正しいんでは? (スコア:0)
身内で証明書やり取りして使う分には何の問題もないです。
Re:正しいんでは? (スコア:0)
その場合はオレオレ証明書ではないですね。警告が出ないわけですから。
out of 言外でしょう。