アカウント名:
パスワード:
証明書をすりかえられているかの確認はリスクですけど相手は自宅鯖なのでその辺はよしなに
無論ですがフィンガープリントはネットで公開されていないことが条件です
ネットで公開して、ネットで公開してるので確認してるからOKと思わせる隙がある時点で運用としてダメでしょう
Windows上でMSの署名つきブラウザパッケージなら信用する、って運用はありうるとは思いますが、それはそれで問題だと思います。
普通にVeriSignとかの署名つきインストーラでのブラウザでいい
その署名者(CAではなく)が信頼できるってことをどう確認するんです? 例えば、こんなことが実際に起こっているわけですが、結局はフィンガープリントで確認せよ、ってことになってますな。
マイクロソフトの言うことを信用しろ、って話ですよね。「信頼されない発行元」にそれら証明書をインポートしたのはマイクロソフトなんだから。
何か問題でも??
IE以外のブラウザはどうします?これは前のコメントでも触れてるんですが。
ブラウザは関係ないですね。どうしてそんなに無知なのに偉そうな口がきけるの?
ブラウザは関係ないですね。
これらを取り違えてない?
禁止するリストも信用しないというのなら、脆弱性修正の権限を握っているソフトウェアベンダー自体信用しないことになる。
俺はMSのリストは信用しないぜーと言っても単なる自己満足。使ってる時点で。
ブラウザもブラウザ自身をインストールしなければ使えませんね。そのブラウザパッケージの署名はどうするんでしょうか?
ブラウザもブラウザ自身をインストールしなければ使えませんね。そのブラウザパッケージの署名はどうするんでしょうか? と書いたんですが、お答えいただけないのは何故でしょう?
パッケージの署名を検証するのはブラウザではありませんから。
それなのにマイクロソフトやブラウザベンダを信頼しないってどういうこと?
どうしてそんなに無知なのに偉そうな口がきけるの?
「それなのに」ってのが意味不明
ある程度は信頼してもいい。
#別ACだったら
フィンガープリントの確認ってマイクロソフトのOSやブラウザベンダの作ったソフトウェアが画面に表示する文字列を見るんでしょ?
ごめん、別AC。
証明書で署名されたブラウザパッケージを信用...これは、そのブラウザの中にインポートされている証明書を信頼するか
何を事実でないと言っているのか不明。
前にも言っただろ。なんでわかんないかね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
一般人におけるSSLの意味 (スコア:1, すばらしい洞察)
発行元が証明されているとか、中身が改竄されてないことを証明するってところは
あまり知られてないということ。
あまり知られてない理由に「重要なファクタについての啓蒙をしてこなかった」というのはあるけどね。
それをできるのは知ってる我々の役目でもあるということも肝に銘じておかねば。
Re:一般人におけるSSLの意味 (スコア:1, すばらしい洞察)
> 通信路が暗号化されている、くらいの認識しかないってことだね。
通信路も正しく暗号化されていないというのが正しい理解です。
> 発行元が証明されているとか、中身が改竄されてないことを証明するってところは
> あまり知られてないということ。
そういう話ではありません。
Re:一般人におけるSSLの意味 (スコア:0)
Re:一般人におけるSSLの意味 (スコア:0)
それが本当に確認できて
> 自宅鯖のSSLサイトにアクセスしようとした時にブラウザが出す証明書
が自分と自宅の間にいる他の誰かがすりかえた証明書ではないことまで証明できればそのとおりです。
Re:一般人におけるSSLの意味 (スコア:0)
到達できているかあるいは証明書をすりかえられているかの確認はリスクですけど相手は自宅鯖なのでその辺はよしなにと言う運用はアリだと。
#証明書についての正しい認識が広まってくれると、オレオレ証明書の自宅鯖SSLサイトを
#訪れた人は門前で引き返してくれるから期せずして来る人が少なくなってうれしいかも。
Re:一般人におけるSSLの意味 (スコア:2, すばらしい洞察)
Re:一般人におけるSSLの意味 (スコア:1)
無論ですがフィンガープリントはネットで公開されていないことが条件です
フィンガープリントまで詐称されたら意味が無い
あと文書等でこれらを配布した場合、たしかに発行者が出したものと証明できないと
意味がありません
配布経路等も気にする必要があるでしょう、フィンガープリントとURLを記載した
偽物の文書が出回ったら意味が無いわけです
自己証明書は「自分で使うか」「証明書発行者本人の発行物であると言う証明と
信頼の置ける流通経路を使って配布した場合場合」にしか使えないと考えています
各種証明書発行機関は証明書が確かに本人の物であると言う確認行為を代行しているに
過ぎないわけですから自らそれを行えるのなら自己証明書も有効って事になります
この銀行の件は明らかにそれを無視して居るのは言うまでもありません
銀行の窓口で自己証明書の入ったCDでも手渡ししてるなら使えるとは思いますが...
Re:一般人におけるSSLの意味 (スコア:1)
理想的には、できるだけ多くの手段で公開されていることが望ましいです。多くの手段で公開しておくのは、確認手段を増やすことで、偽装・詐称を難しくするためです。
なんにせよ、唯一の手段のみで偽装・詐称を完全に防ぐのは困難です(これは、実はオレオレ証明書でなくてブラウザ組み込みの証明書でも同じことですが)から、いろんな方法を使って信頼性を上げていくのが有効だと思います。
Re:一般人におけるSSLの意味 (スコア:1)
運用としてダメでしょう
ほとんどというか、詐称で無いことが確認できない以上、確実に無意味であり
知らない人はそれでOKと思ってしまう罠となりますから悪質です
(詐称というのはわざわざコードを生成するのではなく、公開サイト毎
さもその機関が作成したように見せかけておいておくって事です
判っていると思いますが念のため)
さらに運営側に対してもネットで公開しているからOKなんていう勘違いを起こさせる
罠でもあります
フィンガープリント等は信用できる詐称できないルートで配布しなけれ
Re:一般人におけるSSLの意味 (スコア:1)
でも、その立場に立つならば、ネットで配布されているブラウザに組み込まれているCA証明書も信用できないと結論付けざるを得ないじゃないでしょうか。
Windows上でMSの署名つきブラウザパッケージなら信用する、って運用はありうるとは思いますが、それはそれで問題だと思います。
そう考えるとやはり、正しいPKIの運用を啓蒙するのが正しいと思います。
Re:一般人におけるSSLの意味 (スコア:0)
Re:一般人におけるSSLの意味 (スコア:1)
例えば、こんなこと [microsoft.com]が実際に起こっているわけですが、結局はフィンガープリントで確認せよ、ってことになってますな。
これはマイクロソフトになりすましたわけですが、わざわざマイクロソフトに成りすまさなくとも、休眠会社でも買ってきて正規にベリサインの証明書を取って、CA証明書を改ざんしたFirefoxをビルドして、署名して配ったら、なんてことを考えると、なんてことは、安易には言えませんね。
Re:一般人におけるSSLの意味 (スコア:0)
Re:一般人におけるSSLの意味 (スコア:1)
それに、IE以外のブラウザはどうします?これは前のコメントでも触れてるんですが。
Re:一般人におけるSSLの意味 (スコア:0)
何か問題でも??
ブラウザは関係ないですね。どうしてそんなに無知なのに偉そうな口がきけるの?
Re:一般人におけるSSLの意味 (スコア:1)
ただ、私はそういう意見には賛成できない、と言うだけです。
ブラウザもブラウザ自身をインストールしなければ使えませんね。そのブラウザパッケージの署名はどうするんでしょうか?
この問題は、ひいてはそのブラウザの中にインポートされている証明書群をどう信用すればよいか、ということにも関わってきますね。
Re:一般人におけるSSLの意味 (スコア:0)
禁止するリスト
これらを取り違えてない?
禁止するリストも信用しないというのなら、
脆弱性修正の権限を握っているソフトウェアベンダー自体信用しないことになる。
俺はMSのリストは信用しないぜーと言っても単なる自己満足。使ってる時点で。
Re:一般人におけるSSLの意味 (スコア:1)
そのソフトウェアベンダーの出したリストと、MSがIEにインポートしたリストが一致していると言うのを確認しなければならないのでは?
MS Windows上でIEを使うこともあれば、Linux上でFirefoxを使うこともありますよ。代替手段を用いて確認することができます。
で、結局あなたは「マイクロソフトに信頼の基点をすべて任せれば大丈」って意見なのですね?だったら最初からそう言ってくれれば簡単だったのに
ところで、私はと書いたんですが、お答えいただけないのは何故でしょう?
Re:一般人におけるSSLの意味 (スコア:0)
Re:一般人におけるSSLの意味 (スコア:1)
なぜパッケージ署名が問題になったか思い出してご覧。ブラウザにデフォルトでインポートされている証明書を信じることができるか、ということがその直前の議論だったね(これが十個前のコメント [srad.jp])。これは、ネット配布されることもあるブラウザのインストール時に、そのブラウザパッケージを信用できるか、と言う問題に帰着するから。これを保証する仕組みの一つが、パッケージ署名。ここまではいいね?
そこで君は、VeriSignが発行(署名)したコード署名証明書で署名されていればいい、と言った。でも、それは間違っている。なぜなら、VeriSignは、証明書の主体(Subject)の法的実在性は保証(確認)するけど、その主体に悪意が無いことまでは保証しない(できない)から。ここで君の論理は破綻している。だから「そのブラウザパッケージの署名はどうするんでしょうか?」という質問を繰り返したわけだ。
ただここで例えば、マイクロソフトの言うことを全面的に信用する、という立場はあり得る。でもならば、最初からそう宣言すべき。この場合の結論は簡単で、君と私の立場は違う、というだけのことで、こんなに長い議論は不要だった。これらの立場にはどれが絶対に正しい、なんてことはないのだから。
私は君の立場を否定しない。君の立場は尊重する。君もそうしたまえ。
#破綻した部分は尊重しないけれど。
Re:一般人におけるSSLの意味 (スコア:0)
それなのにマイクロソフトやブラウザベンダを信頼しないってどういうこと?
Re:一般人におけるSSLの意味 (スコア:1)
信頼と言うものは、0か1かではない。私は、マイクロソフトやブラウザベンダをまったく信用しない、とは言っていない。ある程度は信頼してもいい。しかし、何か一つを全面的に信頼する、というのはリスク分散の意味で正しくない。これが私の立場。従って、フィンガープリントもネットを含む複数の手段で確認できるようにしておくのがよい、と考えている。ネットの信頼性は低いけど、信頼性ゼロというわけではない。
判ったら、これを取り消したまえ。
#別ACだったらすまん。
Re:一般人におけるSSLの意味 (スコア:0)
でもならそういうこともあるか。
ごめん、別AC。
Re:一般人におけるSSLの意味 (スコア:1)
OSだってブラウザだって複数種類併用することもできますしね。
…ホンマかいな。あんたもヒマやねえ。
Re:一般人におけるSSLの意味 (スコア:0)
まだわからないのかね。
Re:一般人におけるSSLの意味 (スコア:1)
Re:一般人におけるSSLの意味 (スコア:0)
Re:一般人におけるSSLの意味 (スコア:1)
Re:一般人におけるSSLの意味 (スコア:0)
Re:一般人におけるSSLの意味 (スコア:1)
Re:一般人におけるSSLの意味 (スコア:0)
前にも言っただろ。なんでわかんないかね
Re:一般人におけるSSLの意味 (スコア:1)