パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

IE7の普及でサーバ証明書失効トラブルが続出するかも?」記事へのコメント

  • by Anonymous Coward
    たとえオレオレ証明書であっても注意深く正しく運用できれば(例えば証明書を安全な手段で入手できれば)
    SSLが正しく動くというのは正しい

    しかし そのように正しく使われている例は非常に少ないし
    不特定多数に安全な手段で配ることは不可能に近い

    正しく使われていない場合には相手の確認もできないし
    暗号化にも意味がない

    だから オレオレ証明書は使うべきではない

    という高木さんの主張の前段を仮定をすっとばして

    オレオレ証明書に意味はない

    と意味もわからず叫ぶのは 高木さんにも 高木さんの主張を否定したい人にも迷惑っぽいです

    そして

    > オレオレ証明書の場合の警告では続行ができるのに、
    > 失効証明書の場合は続行を許さないというのには首をかしげる。
    (→ 失効証明書だけじゃなくて
       オレオレ証明書の場合も続行しないようにしろよ)

    という古文の二重否定のような文章を読み取れるように努力しないといけないようです
    • >たとえオレオレ証明書であっても注意深く正しく運用できれば
      >(例えば証明書を安全な手段で入手できれば)
      まあ、重箱の隅をつつけば疑問があるが… [takagi-hiromitsu.jp]

      その状況って、特定された少数を相手にするサービスでないとほぼ実現不可能でしょう。
      ブラウザに最初から導入されている証明局以上の担保を、利用者が判断するのは困難。
      オンラインで証明しようとすれば、再帰的矛盾に陥るのが目に見えている。

      >不特定多数に安全な手段で配ることは不可能に近い
      って書いてあるから、貴方は解っていると思うんだけど。解っている人であればこそ、
      具体的に「注意深く正しく運用」を設定せずに「問題な
      • Windowsは個人だけで使っている訳では無く会社とかでも使っているので
        社内限定であればCD等で管理者から証明書を配布すると言う手段を取る場合も考えられます

        つまり信用できる配布体制を作れるかどうかなんですよね
        なので自己証明書を使えるのが少人数のみと言われると、それはちょっと違うかなと思います

        そして個人で無く会社単位で社内作業者に対し配布という場合は、レアケースと言い切れないのではないでしょうか?
        SSLはインターネットでも使われてますが、インターネットだけで使われている訳ではありません
        無論WebサーバーもIEもインターネットだけで使われて
        • by Anonymous Coward on 2007年04月18日 15時19分 (#1144541)
          >社内限定であればCD等で管理者から証明書を配布すると言う手段を取る場合も考えられます
          >個人で無く会社単位で社内作業者に対し配布という場合は、レアケースと言い切れないのではないでしょうか?

          つまり、オフラインの信頼できる関係を担保に出来るケースに限られる。
          そうして問題なく運用されている会社があったとして、そこの閉じた常識で語る事に意味は無い。
          議論するもの同士が、客観的に確認出来ない状況を前提にすることは出来ない。
          インターネットで議論するのに、「問題ない」と言える前提条件としてはレア。
          会社規定を前提に法律を語るのに意味が無いように、セキュリティ以前の問題でしょ。

          >SSLはインターネットでも使われてますが、インターネットだけで使われている訳ではありません
          実際、私も官公庁インフラで、そうした利用がされているものに関わりましたが、
          それを前提にインターネットで前提条件を定義せずに問題ないと言う気にはならないな。
          このページだって、インターネット上にあって、IEで見ている人が多いわけだから、
          最初に念頭に置くのは「会社単位で社内作業者に対し配布という場合」でないのは明らかでしょ。
          高木氏だって、一般人がインターネット上のサイトで遭遇する状況を例にしている。

          余計な誤解を生む「問題ない」という表現を無責任に使うべきではない。
          オレオレ証明書の扱いと同じくらい注意深く、前提を定義した上で使う必要に迫られる状況も
          あるだろうけど、それは相手が特定できてナナメ読みされない事が確認できる状況に限るべき。

          このような不特定多数が参照するサイトでは「暗号化では問題ない」と書いてあって、
          すばらしい洞察がついていれば、間違っていてもそう記憶してしまう可能性がある。
          親コメント
          • IEの機能として、全ての自己証明書に対しアクセス出来ないようにする機能を搭載するのは
            好ましくないと言う事が言いたいだけですので、インターネット以外は関係ないと言うのであれば
            インターネット以外でも使うIEには自己証明書を使用可能にする機能は付けなければならない
            と言う事で良いと思って良いのかな?

            まぁオレオレ証明書=信用できるルートで供給されて居ない公開証明書という前提条件であれば
            無論自己証明書は条件を満たせば使えるって話になるんだけどね
            親コメント
            • >IEの機能として、全ての自己証明書に対しアクセス出来ないようにする機能を搭載するのは
              >好ましくないと言う事が言いたいだけですので、インターネット以外は関係ないと言うのであれば

              あらゆるオレオレ証明書がダメとは言って無い。
              だからといって、オレオレ証明書を使ってもいい/使わなければいけない状況の説明がなく、
              ただオレオレ証明書にアクセス出来なくするのは好ましくないという言い方は不適切。
              ここを見る殆どの人は、ここを見ている間はそういう環境に居ないのだから、
              まるでインターネットの一般的利用ケース(特定少数向けサービスを使わないアクセス)で
              オレオレ証明
              • 「失効された証明書も警告後に続行できるようにするべきだ」ではなく
                「オレオレ証明書も警告後に続行できないようにするべきだ」という話ならば、
                (賛同はできかねますが)そういう主張も理解できます。
                ただどうも違和感を拭いきれません。

                「オレオレ証明書は悪。警告画面が表示されるようなサイトは葬り去らねばならない」
                などという、妙な正義感に捕らわれているように気がしてなりません。

                不特定多数を対象とするWebサイトと限られた特定の範囲を対象とするWebサイト
                では、確かに比較にならない位の差が有ると思います。そういう視点で見れば、
                確かに後者はレアケースと見る事もできるでしょう。

                しかしレアケースと言えども、そういうWebサイトを利用するクライアントの数は、
                IE7だけで億単位の数がインストールされている事を考えても、数千や数万などと
                いう数ではなく、少なくとも数百万や数千万という数は有るような気がします。
                それをレアケースの一言で済ませてしまうのは、私にはできないですね。

                また管理下に有る全てのクライアントがActiveDirectoryなどで統合的に管理されて
                いて、クライアントの設定変更などが一斉にできるのならば運用コストは下げられる
                と思います。
                しかしそういう統合的に管理されたクライアント数がどれ位ある物なのでしょうか。
                そういう統合的に管理されたネットワークの管理者は多数派なのでしょうか。
                少なくとも日本では多くのネットワーク管理者が一台一台設定して回らなければ
                ならないという環境に有るんじゃないでしょうか。

                第一、限られた特定の範囲を対象とするWebサイトであるにも関わらず、ユーザが
                オンラインで通信相手を検証する必要性が有るケースなんて、本当に有るのですか?
                私は全く思いつかないのですが、それは本当にレアケースと言えるのではないですか?

                つまり何が言いたいかと言いますと、
                「社内なら事前に証明書インストールしておけば、警告時に続行不可なブラウザ
                 でも何ら問題ないでしょ?」(#1144562 [srad.jp])
                などと言うのは、あまりにも現実とかけ離れた意見だなという気がする訳です。

                不特定多数を対象とするサイトでオレオレ証明書を使うのは論外です。
                そういう場合は警告画面が表示されたら信頼できないから立ち去れで良いですよね。

                限られた特定の範囲を対象とするWebサイトならば、殆どの場合はアクセスするのは
                関係者であり、接続先のWebサイトのアドレスも既知である場合が殆どです。
                少なくともフィッシングメールに釣られたり、偶然ググってヒットしたりするのは
                殆ど有り得ないと思って良いでしょう。
                そういうWebサイトで仮に証明書で警告が表示されたとして、何の問題が有るという
                のでしょうか。通信相手の本人性など接続前に知っている事ですし、仮にDNSの問題
                で目的のIPアドレスと異なるアドレスに接続されたとしても、最初にフィンガー
                プリントを確認して問題なければ信頼するという事で何の問題も無いでしょう。

                ところが警告画面を表示してそのまま先へ進めないというのは、そういう運用を全て
                否定する事になるんです。
                一人で数十台ものクライアントを設定して回る事なんて、できればやりたくないと思う
                のが普通ですし、複数の拠点に分かれている状況ならば目も当てられません。第一、
                そんな事にも何の疑問も持たずに設定して回るコスト意識の無い人は、そもそも管理者
                などするべきでは有りません。
                それが会社にとって本当に重大な問題で、それを怠る事で大きな損害に繋がるというの
                ならは、それも必要でしょう。しかし本当にそれが必要なんですかね…。
                そうする事で具体的にどのような利点が有るんですか? 私には全く想像できません。

                こういう事を私は懸念している訳ですが、

                >だからといって、オレオレ証明書を使ってもいい/使わなければいけない状況の
                >説明がなく、ただオレオレ証明書にアクセス出来なくするのは好ましくないと
                >いう言い方は不適切。

                逆に伺いますが、警告画面が表示されたらその場でフィンガープリントを確認する
                のは不適切であり、事前にブラウザに設定しておかなければならないという状況は
                何ですか?
                実際にアクセスして表示される警告画面でフィンガープリントを確認するべきでない/
                事前に認証局の証明書をブラウザに設定しておかなければならない状況の説明がなく、
                ただ警告画面が表示されたらアクセス出来なくするのが好ましいという言い方は
                不適切だと思います。
                親コメント
              • 限られた特定の範囲を対象とするWebサイトならば、殆どの場合はアクセスするのは 関係者であり、接続先のWebサイトのアドレスも既知である場合が殆どです。 少なくともフィッシングメールに釣られたり、偶然ググってヒットしたりするのは 殆ど有り得ないと思って良いでしょう。 そういうWebサイトで仮に証明書で警告が表示されたとして、何の問題が有るという のでしょうか。
                ああ、けっきょくあなたは未だに、man-in-the-middle attack手法によるオレオレ証明書でのSSL運用の脆弱性のことを理解していないで言っているわけですね。
              • >ああ、けっきょくあなたは未だに、man-in-the-middle attack手法による
                >オレオレ証明書でのSSL運用の脆弱性のことを理解していないで言っているわけですね。

                ああ、結局あなたは中間者攻撃という言葉は知っていても、中間者攻撃を防止する方法や
                中間者攻撃を見抜く方法を理解しないで言っているのですね。

                Webサーバに対して直接IPアドレスで接続した上で、警告画面と共に表示された証明書の
                フィンガープリントなどを確認しても、中間者攻撃がされているかどうか判らない物なの
                ですか? それとも正規の証明書を正規のWebサーバに成りすまして中間者がクライアント
                に送付できるとでも仰るのですか?

                それだけ高度な技術を駆使する事ができるのなら、そもそも警告画面が表示されない
                としても全く信用できませんね。データの不整合が発見できなければ、Webブラウザも
                警告画面なぞ表示できません。
                親コメント
              • ところが警告画面を表示してそのまま先へ進めないというのは、そういう運用を全て 否定する事になるんです。
                進めないなら、http でアクセスすればよいのでは?w
              • 楽しい冗談ですね
                親コメント
              • > 一人で数十台ものクライアントを設定して回る事なんて、できればやりたくないと思う
                > のが普通ですし、複数の拠点に分かれている状況ならば目も当てられません。

                それこそ証明書買えばいいと思うんですが…少なくとも管理者の人件費よりは安いでしょう。
                年間数万円の支出と情報漏洩のリスクを天秤にとれば、
                複数の拠点を持つ状況の会社がそのコストが妥当でないと判断することは多分ないと信じています。
                # 逆に台数が少ないんだったら頑張ってプライベートCA証明書をインストールして回ってくれ

                一方で、オレオレ証明書に対する警告を無視してもいいんだ~という習慣を普通の人が持つ事は、
                PKIの崩壊そのものなので『全く許容できません』
                親コメント
              • んー、どっちかというとフィンガープリントでの確認は二次的手段にとどめて置いた方が良いと思います
                なぜっていうと、信頼できるルートでフィンガープリントを配布するのも
                ローカルCAの証明書を配布するのもあまり手間が変わらないからです

                それならローカルCAの証明書を直接配った方が速い&目視確認無くして安全性が保証出来るので

                #私的に今回の件オレオレ証明書=全てのローカルCA発行証明証明書って勘違いされるのが
                #一番嫌なことだったりします
                #方言使うなら説明文はいれといてほしいなぁ~>元ネタblog
                親コメント
              • >それこそ証明書買えばいいと思うんですが…少なくとも管理者の人件費よりは
                >安いでしょう。

                ええ、証明書を購入する方が安価ならば、それを否定する理由は有りません。
                例えばGeoTrustのQuickSSLならば1サーバ当たり36,540円/年ですから、
                (特定の人しか利用しない場合など)当該サーバの本人性を利用者が確認する必要
                が無く、かつ当該サーバ数の台数×運用年間の合計費用が、プライベートCAに
                よるサーバ証明書を用いる場合より安価ならば、検討する価値は有るでしょうね。
                しかし、この条件に見合わないのならば他社よりサーバ証明書を購入する理由は
                無いと思います。

                >年間数万円の支出と情報漏洩のリスクを天秤にとれば、
                >複数の拠点を持つ状況の会社がそのコストが妥当でないと判断することは多分ないと信じて>います。

                それは比較の対象が不適切です。
                SSLを用いない事はここでは論じられていません。
                一般の認証サービスで発行される証明書と、プライベートCAが発行する証明書で、
                情報漏洩のリスクに差異は有りません。

                比較するのならば、先に挙げたようにプライベートCAによる運用コストと、
                他社より購入する証明書を用いる運用コストの比較、及び両者のリスクの
                比較をしなければ、意味が有りません。

                ># 逆に台数が少ないんだったら頑張ってプライベートCA証明書をインストール
                >して回ってくれ

                何故ですか?

                >一方で、オレオレ証明書に対する警告を無視してもいいんだ~という習慣を
                >普通の人が持つ事は、
                >PKIの崩壊そのものなので『全く許容できません』

                同感です。

                更に言えば「警告が表示されなければ良いんだ」という意識も、
                PKIの意味を取り違えていると思いますので『全く許容できません』。
                警告が表示されないのは危険の兆候が発見できなかったからであって、
                接続先のWebサイトが信頼できる事を意味しません。

                # そもそも崩壊以前の話として、PKIが正しく理解されているとは
                # 思えないんですけどね…。
                親コメント
              • >なぜっていうと、信頼できるルートでフィンガープリントを配布するのも
                >ローカルCAの証明書を配布するのもあまり手間が変わらないからです

                それは運用次第と思います。

                フィンガープリントならば日常的に複数の媒体で配布し続ける事も
                容易にできますし、社員証などと同時に配布しても良いと思います。
                また既にパブリックな証明書を購入しているのならば、フィンガープリント
                だけなら、そのWebサイトで公開していても特に問題は無いと思います。

                >それならローカルCAの証明書を直接配った方が速い&
                >目視確認無くして安全性が保証出来るので

                それを否定する物では有りませんが、フィンガープリントの安全な
                配布ができるのならば、それを否定する理由も有りませんよね。

                >#私的に今回の件オレオレ証明書=全てのローカルCA発行証明証明書って勘違いされるのが
                >#一番嫌なことだったりします
                >#方言使うなら説明文はいれといてほしいなぁ~>元ネタblog

                同感です。
                しかし検証パスを通らない証明書を「オレオレ証明書」と呼ぶというのは、
                今回の件で初めて知りました。でもこれって、名前と意味が少し乖離して
                いますよね。

                自己署名のプライベートCAが発行した証明書を使っておいて、「警告が
                表示されますが認証局の証明書をインストールすれば大丈夫です」など
                というのは、まるで「俺だよ俺」という元々の振込み詐欺を隠喩していて
                絶妙な名前だと思います。
                しかし、検証パスが通らないのはサーバ側の設定ミスも有りますからねぇ。
                中間認証局をサーバに設定していないために、検証パスを通らない場合は
                「消防署の方から来ました」と言う押し売りの方が「消防署の方ってどこよ」
                という意味で隠喩としては適切だと思います。(笑)
                親コメント
              • >パブリックな証明書を購入しているのならばフィンガープリント
                >けなら、そのWebサイトで公開していても特に問題は無いと思います

                パブリックな証明書を1つとっているなら、そこで公開鍵を配布しても
                フィンガープリント配布しても一緒かと

                社員証共だと社員のみの部署は良いのですが、その他の作業者が多数居る昨今では
                それだけでは困ります
                広報とかの紙媒体も、配布先は大抵社員のみですよね

                結構社員以外を考えると結局管理者を各部においてそこ経由で配布って事になるかと
                もっとも部門が数百になると配布がフィンガープリントより大変になりますが(CDの発行枚数とか管理とか)
                作業者数が多いと確認しない迂闊な人が増加する心配からフィンガープリントは危険性が増すと考えています
                フィンガープリントは確認しない人が出てくる可能性があるので怖いというのが個人的考えです

                >検証パスが通らないのはサーバ側の設定ミスも有りますからねぇ

                設定ミスが判明しやすくなって良いかも知れませんよ(笑)
                設定ミスを放置するよりは...
                親コメント
              • >パブリックな証明書を1つとっているなら、そこで公開鍵を配布しても
                >フィンガープリント配布しても一緒かと

                はい、状況に応じてはそういう方法をとっても良いと思います。

                但しその方法を取りますと、ブラウザの警告表示に大きく影響するデータその物を
                不特定多数に公開する事になります。
                無関係の人が誤って(或いは意味を理解せずに)ブラウザにインストールしてしまう
                という事故を想定すると、フィンガープリントだけ公開する方が良いように思った
                次第です。

                ただここまで書いておいて思ったのですが、LDAPで検索したり、パスワードを入力
                しなければ表示されないようにしておけば、良いだけかも知れませんね。A(^^;

                >フィンガープリントは確認しない人が出てくる可能性があるので怖いというのが
                >個人的考えです

                なるほど、確かにそうですね。

                >>検証パスが通らないのはサーバ側の設定ミスも有りますからねぇ
                >設定ミスが判明しやすくなって良いかも知れませんよ(笑)
                >設定ミスを放置するよりは...

                それは「消防署の方から証明書」と呼んでみてはどうでしょう。
                # 捻りが無さすぎでつまらないぞ > 俺

                # ベリサインも全て中間認証局発行に切り替える予定だったはずですが、
                # 予定が延び延びになっているらしいです。もしかしたら、中間認証局
                # を設定し損ねるサーバが続出する事を懸念しているのかな…。(^^;
                親コメント
              • >不特定多数に公開する事になります

                まぁあくまで社内ですから、公開証明書は認証ではないので不特定多数に配られても
                あまり問題はないかと、社外に対しインターネット等で公開するので有れば
                アクセス制限を設けた方が良いと思います
                余分なトラブルを発生する可能性もありますしね

                >それは「消防署の方から証明書」と呼んでみてはどうでしょう

                そんな呼び名を付けなくてもサーバー側の設定ミスですし、ミスってるから解消しろでOKかと
                永続的にその状態を保持したいわけはないでしょうから...
                親コメント

人生unstable -- あるハッカー

処理中...