アカウント名:
パスワード:
一番正しいのはオレオレも弾くってのだろうけど、それはそれで現実的で無いし。
つーか、真っ当な機関なら失効しない様にちゃんとチェックしとけ、ってだけで良いんでない? 失効に対してオレオレ証明も用意しないんであれば、そりゃ見てもらう前提では無いって事で。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
正しいんでは? (スコア:2, 興味深い)
一番正しいのはオレオレも弾くってのだろうけど、それはそれで現実的で無いし。
つーか、真っ当な機関なら失効しない様にちゃんとチェックしとけ、ってだけで良いんでない?
失効に対してオレオレ証明も用意しないんであれば、そりゃ見てもらう前提では無いって事で。
Re:正しいんでは? (スコア:0)
信頼されていないオレオレ証明書でも先に進めないようにしろ、ってことでしょう?
信頼できないという点で脅威の度合いは同じなんだし、差がついている理由がまったく無い。
Re:正しいんでは? (スコア:1)
いいえ、脅威の度合いは違うと思います。
失効されているというのは、信頼できないという事です。
検証パスが通らないという事は、信頼できるとは言えないという事です。
前者は断定であり後者は疑念ですから、意味が違うと思います。
安全側に振るために両者を区別せず扱えという主張は、一つの考えとして理解できます。
ただ検証パスが通らないのは、ユーザ側では対処しようがない場合も有りますし、
100%賛同とまではできないですね。
私としては、警告が表示されるオレオレ証明書よりも、正しく認証されて警告も
表示されないけど、実際にはサイト運営者の本人性について全く確認されていない
証明書の存在の方が問題と思っています。
認証運用規程で表明したとおりの認証手続きに従って発行された証明書ならば、
その認証方針を納得できるかどうかは利用者側で判断すべき問題です。
しかしそういう判断ができないのが大多数だからオレオレ証明書が問題とされて
いるのですよね。警告が表示されない分、オレオレ証明書より悪用された場合の
危険度は高いとしか思えません。