パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場」記事へのコメント

  • by Anonymous Coward
    通信路が暗号化されている、くらいの認識しかないってことだね。
    発行元が証明されているとか、中身が改竄されてないことを証明するってところは
    あまり知られてないということ。

    あまり知られてない理由に「重要なファクタについての啓蒙をしてこなかった」というのはあるけどね。
    それをできるのは知ってる我々の役目でもあるということも肝に銘じておかねば。
    • by Anonymous Coward
      「一般人における」って、まるで自分はわかっているかのようなことをおっしゃいますが、あなた自身も理解していないようですよ?

      > 通信路が暗号化されている、くらいの認識しかないってことだね。

      通信路も正しく暗号化されていないというのが正しい理解です。

      > 発行元が証明されているとか、中身が改竄されてないことを証明するってところは
      > あまり知られてないということ。

      そういう話ではありません。
      • 別ACですが、自宅鯖にオレオレ証明書で立てたSSLサイトがあったとして、DNSの詐称とかされてなくて、外部からちゃんと正しく自宅鯖に到達できているとして、その自宅鯖のSSLサイトにアクセスしようとした時にブラウザが出す証明書が正しくないというメッセージを無視してアクセスしたら、その後アクセス中に通信経路に流れているパケットは他の人が傍受しても暗号化されているので(コストに見合った時間内に)解読されることはない、という理解で正しいでしょうか?
        • > 外部からちゃんと正しく自宅鯖に到達できているとして
          それが本当に確認できて

          > 自宅鯖のSSLサイトにアクセスしようとした時にブラウザが出す証明書
          が自分と自宅の間にいる他の誰かがすりかえた証明書ではないことまで証明できればそのとおりです。
          • つまりダムハブを経路に入れるなどしてパケットを単に盗聴して情報を見られる事に対してだけならオレオレ証明書は役に立つわけですね。
            到達できているかあるいは証明書をすりかえられているかの確認はリスクですけど相手は自宅鯖なのでその辺はよしなにと言う運用はアリだと。

            #証明書についての正しい認識が広まってくれると、オレオレ証明書の自宅鯖SSLサイトを
            #訪れた人は門前で引き返してくれるから期せずして来る人が少なくなってうれしいかも。
            • 証明書をすりかえられているかの確認はリスクですけど相手は自宅鯖なのでその辺はよしなに
              ではなくて、内容とフィンガープリントで確認せよ。
              • >ではなくて、内容とフィンガープリントで確認せよ。

                無論ですがフィンガープリントはネットで公開されていないことが条件です
                フィンガープリントまで詐称されたら意味が無い
                あと文書等でこれらを配布した場合、たしかに発行者が出したものと証明できないと
                意味がありません
                配布経路等も気にする必要があるでしょう、フィンガープリントとURLを記載した
                偽物の文書が出回ったら意味が無いわけです

                自己証明書は「自分で使うか」「証明書発行者本人の発行物であると言う証明と
                信頼の置ける流通経路を使って配布した場合場合」にしか使えないと考えています
                各種証明書発行機関は証明書が確かに本人の物であると言う確認行為を代行しているに
                過ぎないわけですから自らそれを行えるのなら自己証明書も有効って事になります

                この銀行の件は明らかにそれを無視して居るのは言うまでもありません
                銀行の窓口で自己証明書の入ったCDでも手渡ししてるなら使えるとは思いますが...
              • 無論ですがフィンガープリントはネットで公開されていないことが条件です
                そんなことはありませんよ。ネットで公開されてても構いません。ただ、ネットだけで確認できると言うのでは、ほとんど無意味というだけです。
                理想的には、できるだけ多くの手段で公開されていることが望ましいです。多くの手段で公開しておくのは、確認手段を増やすことで、偽装・詐称を難しくするためです。
                なんにせよ、唯一の手段のみで偽装・詐称を完全に防ぐのは困難です(これは、実はオレオレ証明書でなくてブラウザ組み込みの証明書でも同じことですが)から、いろんな方法を使って信頼性を上げていくのが有効だと思います。
              • ネットで公開して、ネットで公開してるので確認してるからOKと思わせる隙がある時点で
                運用としてダメでしょう
                ほとんどというか、詐称で無いことが確認できない以上、確実に無意味であり
                知らない人はそれでOKと思ってしまう罠となりますから悪質です
                (詐称というのはわざわざコードを生成するのではなく、公開サイト毎
                 さもその機関が作成したように見せかけておいておくって事です
                 判っていると思いますが念のため)

                さらに運営側に対してもネットで公開しているからOKなんていう勘違いを起こさせる
                罠でもあります
                フィンガープリント等は信用できる詐称できないルートで配布しなけれ
              • ネットで公開して、ネットで公開してるので確認してるからOKと思わせる隙がある時点で運用としてダメでしょう
                個人的にはその意見には賛成できませんが、まあそういう立場も有り得るでしょう。
                でも、その立場に立つならば、ネットで配布されているブラウザに組み込まれているCA証明書も信用できないと結論付けざるを得ないじゃないでしょうか。
                Windows上でMSの署名つきブラウザパッケージなら信用する、って運用はありうるとは思いますが、それはそれで問題だと思います。
                そう考えるとやはり、正しいPKIの運用を啓蒙するのが正しいと思います。
              • Windows上でMSの署名つきブラウザパッケージなら信用する、って運用はありうるとは思いますが、それはそれで問題だと思います。
                何が問題?MSの署名?なんでMSなの?普通にVeriSignとかの署名つきインストーラでのブラウザでいいわけだけども。実際そうなっているし。
              • その署名者(CAではなく)が信頼できるってことをどう確認するんです?
                例えば、こんなこと [microsoft.com]が実際に起こっているわけですが、結局はフィンガープリントで確認せよ、ってことになってますな。
                これはマイクロソフトになりすましたわけですが、わざわざマイクロソフトに成りすまさなくとも、休眠会社でも買ってきて正規にベリサインの証明書を取って、CA証明書を改ざんしたFirefoxをビルドして、署名して配ったら、なんてことを考えると、
                普通にVeriSignとかの署名つきインストーラでのブラウザでいい
                なんてことは、安易には言えませんね。
              • その署名者(CAではなく)が信頼できるってことをどう確認するんです? 例えば、こんなことが実際に起こっているわけですが、結局はフィンガープリントで確認せよ、ってことになってますな。
                いいえ、なってませんが?「インターネットオプション」→「コンテンツ」→「証明書」→「信頼されない発行元」
              • 結局、マイクロソフトの言うことを信用しろ、って話ですよね。「信頼されない発行元」にそれら証明書をインポートしたのはマイクロソフトなんだから。

                それに、IE以外のブラウザはどうします?これは前のコメントでも触れてるんですが。
              • マイクロソフトの言うことを信用しろ、って話ですよね。「信頼されない発行元」にそれら証明書をインポートしたのはマイクロソフトなんだから。

                何か問題でも??

                IE以外のブラウザはどうします?これは前のコメントでも触れてるんですが。

                ブラウザは関係ないですね。どうしてそんなに無知なのに偉そうな口がきけるの?

              • 何か問題でも??
                マイクロソフトに信頼の基点をすべて任せれば大丈夫、という意見はあって構いません。しかし、そう考えることができるのなら、長い議論は不要のはずです。最初からあなたはそう主張すべきです。
                ただ、私はそういう意見には賛成できない、と言うだけです。
                ブラウザは関係ないですね。
                ブラウザもブラウザ自身をインストールしなければ使えませんね。そのブラウザパッケージの署名はどうするんでしょうか?
                この問題は、ひいてはそのブラウザの中にインポートされている証明書群をどう信用すればよいか、ということにも関わってきますね。
              • 許可するリスト
                禁止するリスト

                これらを取り違えてない?
                禁止するリストも信用しないというのなら、
                脆弱性修正の権限を握っているソフトウェアベンダー自体信用しないことになる。

                俺はMSのリストは信用しないぜーと言っても単なる自己満足。使ってる時点で。
              • これらを取り違えてない?

                いいえ。

                禁止するリストも信用しないというのなら、
                脆弱性修正の権限を握っているソフトウェアベンダー自体信用しないことになる。

                そのソフトウェアベンダーの出したリストと、MSがIEにインポートしたリストが一致していると言うのを確認しなければならないのでは?

                俺はMSのリストは信用しないぜーと言っても単なる自己満足。使ってる時点で。

                MS Windows上でIEを使うこともあれば、Linux上でFirefoxを使うこともありますよ。代替手段を用いて確認することが

              • by Anonymous Coward on 2007年12月02日 16時25分 (#1258776)
                ブラウザもブラウザ自身をインストールしなければ使えませんね。そのブラウザパッケージの署名はどうするんでしょうか?
                と書いたんですが、お答えいただけないのは何故でしょう?
                パッケージの署名を検証するのはブラウザではありませんから。
                親コメント
              • パッケージの署名を検証するのはブラウザではありませんから。
                君はほんの十個前のコメントも記憶できないのかね?
                なぜパッケージ署名が問題になったか思い出してご覧。ブラウザにデフォルトでインポートされている証明書を信じることができるか、ということがその直前の議論だったね(これが十個前のコメント [srad.jp])。これは、ネット配布されることもあるブラウザのインストール時に、そのブラウザパッケージを信用できるか、と言う問題に帰着するから。これを保証する仕組みの一つが、パッケージ署名。ここまではいいね?
                そこで君は、VeriSignが発行(署名)したコード署名証明書で署名されていればいい、と言った。でも、それは間違っている。なぜなら、VeriSignは、証明書の主体(Subject)の法的実在性は保証(確認)するけど、その主体に悪意が無いことまでは保証しない(できない)から。ここで君の論理は破綻している。だから「そのブラウザパッケージの署名はどうするんでしょうか?」という質問を繰り返したわけだ。

                ただここで例えば、マイクロソフトの言うことを全面的に信用する、という立場はあり得る。でもならば、最初からそう宣言すべき。この場合の結論は簡単で、君と私の立場は違う、というだけのことで、こんなに長い議論は不要だった。これらの立場にはどれが絶対に正しい、なんてことはないのだから。

                私は君の立場を否定しない。君の立場は尊重する。君もそうしたまえ。
                #破綻した部分は尊重しないけれど。
                親コメント
              • あなたは証明書のフィンガープリントを確認するように勧めるコメントをしてるけど、
                それなのにマイクロソフトやブラウザベンダを信頼しないってどういうこと?
              • それなのにマイクロソフトやブラウザベンダを信頼しないってどういうこと?
                「それなのに」ってのが意味不明だが、それは措くとして。
                信頼と言うものは、0か1かではない。私は、マイクロソフトやブラウザベンダをまったく信用しない、とは言っていない。ある程度は信頼してもいい。しかし、何か一つを全面的に信頼する、というのはリスク分散の意味で正しくない。これが私の立場。従って、フィンガープリントもネットを含む複数の手段で確認できるようにしておくのがよい、と考えている。ネットの信頼性は低いけど、信頼性ゼロというわけではない。

                判ったら、
                どうしてそんなに無知なのに偉そうな口がきけるの?
                これを取り消したまえ。
                #別ACだったらすまん。
                親コメント
              • 「それなのに」ってのが意味不明
                フィンガープリントの確認ってマイクロソフトのOSやブラウザベンダの作ったソフトウェアが画面に表示する文字列を見るんでしょ? 彼らも彼らの配る証明書も信頼しないのに同じ彼らの配るプログラムの動作を信頼できるのはどういうことかなと疑問に思ったの。

                でも
                ある程度は信頼してもいい。
                ならそういうこともあるか。

                #別ACだったら
                ごめん、別AC。
              • フィンガープリントの確認ってマイクロソフトのOSやブラウザベンダの作ったソフトウェアが画面に表示する文字列を見るんでしょ?
                それに加えて、例えばOpenSSLのコマンドを叩いて確認する、って手もありますよ。一般人には勧めませんけど、そんなに難しいものでもありません。
                OSだってブラウザだって複数種類併用することもできますしね。

                ごめん、別AC。
                …ホンマかいな。あんたもヒマやねえ。
                親コメント
              • だからー、パッケージのコード署名を検証するのに使用するルート証明書は、ブラウザの証明書ストアにあるものではないのだよ。

                まだわからないのかね。
              • それは別でも構わんのだよ。RHELのPGP Keyだってブラウザとは別になってるね。
                親コメント
              • SO WHAT?
              • 君が主張した「VeriSignが発行した(SubjectがMSでもVeriSignでもない)証明書で署名されたブラウザパッケージを信用する」と言うことは、誰もが無条件に受け入れられるわけではない。これは、そのブラウザの中にインポートされている証明書を信頼するかどうかに係わってくる。このことは何度も説明しているが、君からは反論がない。これが"So what?"に対する答。
                親コメント
              • 証明書で署名されたブラウザパッケージを信用...これは、そのブラウザの中にインポートされている証明書を信頼するか
                それが事実でないんだよ。まず間違いに気づけ。
              • 何を事実でないと言っているのか不明。
                親コメント
              • 何を事実でないと言っているのか不明。
                証明書で署名されたブラウザパッケージの署名検証に用いるルート証明書は、そのブラウザの中にインポートされている証明書ではない。

                前にも言っただろ。なんでわかんないかね

              • ブラウザ組み込みの証明書とパッケージ署名検証用の証明書が別であっても同じであっても、私の主張の正しさとは無関係。
                親コメント

開いた括弧は必ず閉じる -- あるプログラマー

処理中...