パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場」記事へのコメント

  • by Anonymous Coward
    通信路が暗号化されている、くらいの認識しかないってことだね。
    発行元が証明されているとか、中身が改竄されてないことを証明するってところは
    あまり知られてないということ。

    あまり知られてない理由に「重要なファクタについての啓蒙をしてこなかった」というのはあるけどね。
    それをできるのは知ってる我々の役目でもあるということも肝に銘じておかねば。
    • by Anonymous Coward
      「一般人における」って、まるで自分はわかっているかのようなことをおっしゃいますが、あなた自身も理解していないようですよ?

      > 通信路が暗号化されている、くらいの認識しかないってことだね。

      通信路も正しく暗号化されていないというのが正しい理解です。

      > 発行元が証明されているとか、中身が改竄されてないことを証明するってところは
      > あまり知られてないということ。

      そういう話ではありません。
      • 別ACですが、自宅鯖にオレオレ証明書で立てたSSLサイトがあったとして、DNSの詐称とかされてなくて、外部からちゃんと正しく自宅鯖に到達できているとして、その自宅鯖のSSLサイトにアクセスしようとした時にブラウザが出す証明書が正しくないというメッセージを無視してアクセスしたら、その後アクセス中に通信経路に流れているパケットは他の人が傍受しても暗号化されているので(コストに見合った時間内に)解読されることはない、という理解で正しいでしょうか?
        • > 外部からちゃんと正しく自宅鯖に到達できているとして
          それが本当に確認できて

          > 自宅鯖のSSLサイトにアクセスしようとした時にブラウザが出す証明書
          が自分と自宅の間にいる他の誰かがすりかえた証明書ではないことまで証明できればそのとおりです。
          • つまりダムハブを経路に入れるなどしてパケットを単に盗聴して情報を見られる事に対してだけならオレオレ証明書は役に立つわけですね。
            到達できているかあるいは証明書をすりかえられているかの確認はリスクですけど相手は自宅鯖なのでその辺はよしなにと言う運用はアリだと。

            #証明書についての正しい認識が広まってくれると、オレオレ証明書の自宅鯖SSLサイトを
            #訪れた人は門前で引き返してくれるから期せずして来る人が少なくなってうれしいかも。
            • 証明書をすりかえられているかの確認はリスクですけど相手は自宅鯖なのでその辺はよしなに
              ではなくて、内容とフィンガープリントで確認せよ。
              • >ではなくて、内容とフィンガープリントで確認せよ。

                無論ですがフィンガープリントはネットで公開されていないことが条件です
                フィンガープリントまで詐称されたら意味が無い
                あと文書等でこれらを配布した場合、たしかに発行者が出したものと証明できないと
                意味がありません
                配布経路等も気にする必要があるでしょう、フィンガープリントとURLを記載した
                偽物の文書が出回ったら意味が無いわけです

                自己証明書は「自分で使うか」「証明書発行者本人の発行物であると言う証明と
                信頼の置ける流通経路を使って配布した場合場合」にしか使えないと考えています
                各種証明書発行機関は証明書が確かに本人の物であると言う確認行為を代行しているに
                過ぎないわけですから自らそれを行えるのなら自己証明書も有効って事になります

                この銀行の件は明らかにそれを無視して居るのは言うまでもありません
                銀行の窓口で自己証明書の入ったCDでも手渡ししてるなら使えるとは思いますが...
              • 無論ですがフィンガープリントはネットで公開されていないことが条件です
                そんなことはありませんよ。ネットで公開されてても構いません。ただ、ネットだけで確認できると言うのでは、ほとんど無意味というだけです。
                理想的には、できるだけ多くの手段で公開されていることが望ましいです。多くの手段で公開しておくのは、確認手段を増やすことで、偽装・詐称を難しくするためです。
                なんにせよ、唯一の手段のみで偽装・詐称を完全に防ぐのは困難です(これは、実はオレオレ証明書でなくてブラウザ組み込みの証明書でも同じことですが)から、いろんな方法を使って信頼性を上げていくのが有効だと思います。
              • ネットで公開して、ネットで公開してるので確認してるからOKと思わせる隙がある時点で
                運用としてダメでしょう
                ほとんどというか、詐称で無いことが確認できない以上、確実に無意味であり
                知らない人はそれでOKと思ってしまう罠となりますから悪質です
                (詐称というのはわざわざコードを生成するのではなく、公開サイト毎
                 さもその機関が作成したように見せかけておいておくって事です
                 判っていると思いますが念のため)

                さらに運営側に対してもネットで公開しているからOKなんていう勘違いを起こさせる
                罠でもあります
                フィンガープリント等は信用できる詐称できないルートで配布しなけれ
              • ネットで公開して、ネットで公開してるので確認してるからOKと思わせる隙がある時点で運用としてダメでしょう
                個人的にはその意見には賛成できませんが、まあそういう立場も有り得るでしょう。
                でも、その立場に立つならば、ネットで配布されているブラウザに組み込まれているCA証明書も信用できないと結論付けざるを得ないじゃないでしょうか。
                Windows上でMSの署名つきブラウザパッケージなら信用する、って運用はありうるとは思いますが、それはそれで問題だと思います。
                そう考えるとやはり、正しいPKIの運用を啓蒙するのが正しいと思います。
              • 証明書を発行する側は、発行先のユーザーが確かにその会社であることを証明します
                そしてMSをその確認手順を審査し基準にパスしたものに対しブラウザに登録し配布します
                これはPKIの基本的な配布手順のひとつですから言われなくても判っているでしょう

                先ずは、現行のブラウザやOS付属の証明書配布はあくまで完全ではなく、
                最良レベルでのものであると言うことを言っておきます

                本当に完全を求めるなら、CAの証明書はブラウザからアンインストールした上で
                各社に出向いて必要な公開証明書を自分で集めてくるしかないでしょう

                各CAやMSは証明書の配布&確認作業の代行をしているに過ぎませ
              • 何をいいたいのか、もう少しまとめてくれると助かるんですが…

                他の流通経路で補うというのであれば、それは詭弁です
                確認を得るために、わざわざ他の流通経路で配布された物を参照しなければいけないのであれば、
                フィンガープリントをネットに置く意味はありません、直接フィンガープリントを
                発行者が確認できる配布経路で配布すればよいのです。

                それは私の立場とは違います。
                どの配布経路を採ろうとも、おそらく完全と言うことはありません。OS組み込みにしても、ネットで配布にしてもそれは同じことです。
                だから私は、フィンガープリントを複数の経路で配布し

              • では簡単に
                補完に発信者の確認の出来ないネットを含める意味はなぜですか?
                それだけしか確認しないで満足する人はどうやって防止しますか?

                無論その他の方法も発信者が当人であると確認できるものだけだと思いますが
                それは違う?
              • 文が変だ(苦笑)

                誤>それだけしか確認しないで満足する人はどうやって防止しますか?
                正>それだけを確認して満足する人はどうやって防止しますか?
                親コメント

普通のやつらの下を行け -- バッドノウハウ専門家

処理中...