パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

IE7の普及でサーバ証明書失効トラブルが続出するかも?」記事へのコメント

  • by Anonymous Coward
    とはいっても、オレオレの場合はオレオレなりに現状も有効な訳で、現状失効した物の方が厳しく弾かれるのは当たり前の様な。

    一番正しいのはオレオレも弾くってのだろうけど、それはそれで現実的で無いし。

    つーか、真っ当な機関なら失効しない様にちゃんとチェックしとけ、ってだけで良いんでない?
    失効に対してオレオレ証明も用意しないんであれば、そりゃ見てもらう前提では無いって事で。

    • by Anonymous Coward on 2007年04月18日 4時47分 (#1144293)
      高木さんがいっているのは、リボケーションされた証明書で先に進めないようにするなら、
      信頼されていないオレオレ証明書でも先に進めないようにしろ、ってことでしょう?
      信頼できないという点で脅威の度合いは同じなんだし、差がついている理由がまったく無い。
      親コメント
      • by nisiguti (1286) on 2007年04月18日 7時57分 (#1144311)
        >信頼できないという点で脅威の度合いは同じなんだし、差がついている理由がまったく無い。

        いいえ、脅威の度合いは違うと思います。

        失効されているというのは、信頼できないという事です。
        検証パスが通らないという事は、信頼できるとは言えないという事です。
        前者は断定であり後者は疑念ですから、意味が違うと思います。

        安全側に振るために両者を区別せず扱えという主張は、一つの考えとして理解できます。
        ただ検証パスが通らないのは、ユーザ側では対処しようがない場合も有りますし、
        100%賛同とまではできないですね。

        私としては、警告が表示されるオレオレ証明書よりも、正しく認証されて警告も
        表示されないけど、実際にはサイト運営者の本人性について全く確認されていない
        証明書の存在の方が問題と思っています。
        認証運用規程で表明したとおりの認証手続きに従って発行された証明書ならば、
        その認証方針を納得できるかどうかは利用者側で判断すべき問題です。
        しかしそういう判断ができないのが大多数だからオレオレ証明書が問題とされて
        いるのですよね。警告が表示されない分、オレオレ証明書より悪用された場合の
        危険度は高いとしか思えません。
        親コメント
      • by Mayhem (33253) on 2007年04月18日 14時50分 (#1144535)
        高木氏の言うことは、理論的には正しい。
        しかし、実務的な面からは、IE7の実装も大いに理解できる。

        すっごく身近な例だと、今Webベースの管理ツールとか標準で用意しているソフトなんか山ほどあって、そのほとんどが自己署名証明書を作成して、アクセスにはSSLを使わせるわけだけど、そのときいちいち先に進めなくなるとやってられない、という状況も起こるわけでして、まあ、このように管理者やインテグレータが困るのは氷山の一角で、世の中には、立派に使用されているプライベート証明書もたくさんある、それが使えなくなると、よほど混乱が起こると思う。

        もちろん、ルート証明書をインポートしておけばよいのだけど、大きな問題として、ルート証明書の重要性というのが、いまいち理解しがたいという点がある。たとえばPKIを説明するときに、証明書はパスポートと同じ、って説明できるけど、じゃあ、パスポートを発行している日本を証明した証明書なんてないわけだし、メタファとして説明しづらい、って言うのがある。技術的に仕組みがわかると、なるほど大納得なんだけど、利用者に理解してもらうのは、おそらく非常に難しいでしょう。

        それから、何でもかんでもオレオレ証明書と片付けられる風潮が作られつつあることも問題だな。今回の件のように、あまり一般に知られていない情報を広く公開してくれて、高木氏の活動には敬意を払わなければならない部分が非常に大きいのだけど、このキーワード主義は感心できないな...
        親コメント

計算機科学者とは、壊れていないものを修理する人々のことである

処理中...