パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場」記事へのコメント

  • by Anonymous Coward
    通信路が暗号化されている、くらいの認識しかないってことだね。
    発行元が証明されているとか、中身が改竄されてないことを証明するってところは
    あまり知られてないということ。

    あまり知られてない理由に「重要なファクタについての啓蒙をしてこなかった」というのはあるけどね。
    それをできるのは知ってる我々の役目でもあるということも肝に銘じておかねば。
    • by Anonymous Coward
      「一般人における」って、まるで自分はわかっているかのようなことをおっしゃいますが、あなた自身も理解していないようですよ?

      > 通信路が暗号化されている、くらいの認識しかないってことだね。

      通信路も正しく暗号化されていないというのが正しい理解です。

      > 発行元が証明されているとか、中身が改竄されてないことを証明するってところは
      > あまり知られてないということ。

      そういう話ではありません。
      • 別ACですが、自宅鯖にオレオレ証明書で立てたSSLサイトがあったとして、DNSの詐称とかされてなくて、外部からちゃんと正しく自宅鯖に到達できているとして、その自宅鯖のSSLサイトにアクセスしようとした時にブラウザが出す証明書が正しくないというメッセージを無視してアクセスしたら、その後アクセス中に通信経路に流れているパケットは他の人が傍受しても暗号化されているので(コストに見合った時間内に)解読されることはない、という理解で正しいでしょうか?
        • > 外部からちゃんと正しく自宅鯖に到達できているとして
          それが本当に確認できて

          > 自宅鯖のSSLサイトにアクセスしようとした時にブラウザが出す証明書
          が自分と自宅の間にいる他の誰かがすりかえた証明書ではないことまで証明できればそのとおりです。
          • つまりダムハブを経路に入れるなどしてパケットを単に盗聴して情報を見られる事に対してだけならオレオレ証明書は役に立つわけですね。
            到達できているかあるいは証明書をすりかえられているかの確認はリスクですけど相手は自宅鯖なのでその辺はよしなにと言う運用はアリだと。

            #証明書についての正しい認識が広まってくれると、オレオレ証明書の自宅鯖SSLサイトを
            #訪れた人は門前で引き返してくれるから期せずして来る人が少なくなってうれしいかも。
            • その辺はコスト見合いだよね。

              金融機関がそれでいいのかってのは別の話で。
              エラーが出ても問題ないという説明を提示するのは嘘なのでやめていただきたいところ。利用者がアクセス予定のリソースを鑑みて、信用できないサイトであるかもしれないというリスクがあっても問題ない人だけがOKを押すように説明するべきだ。

              たとえば趣味の日記サイトとかが本当にSSL証明書で発信者を識別でき、改竄を検知でき、通信を暗号化できる必要があるのかって言われれば、それが本当に必要な日記サイトというのは稀であるでしょうしね。普通に暇つぶしで日記サイトにアクセスするときにその内容が本物かどうか確認できなかったとしても大して困らないことの方が多いだろう。

              まぁ、それでいいならそもそもSSL入れる必要ないんじゃね?って話なわけだが・・。

              商売をするならオレオレじゃないほうがいいよね。自分のところに振り込まれるはずだったお金が、どっか違う知らない人のところに振り込まれるというような事象が許容できるなら自宅鯖SSLでもかまわないと思うけれども。
              あと、商売であるならば買う人にとっては自宅鯖かどうかは関係ないよね。注文を申し込むのはWeb上のサイトに対してであってサーバに対してじゃないし、Webサイトを見て注文をする時に、そこが零細か個人事業主か大企業かは利用者には関係ない。

              USBメモリとかで証明書を直接配るとかしてるならそれはアリなんだけれども。
              --
              ◆IZUMI162i6 [mailto]
              親コメント

ソースを見ろ -- ある4桁UID

処理中...