パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Firefox 3のSSL対応方針、どう思う?」記事へのコメント

  • by Anonymous Coward on 2008年08月06日 13時15分 (#1397935)
    >この警告が発せられない状態にするには、
    >サイトはFirefox認証のベンダーに有料の証明書を発行してもらう必要がある。

    そもそもがそーなんだから仕方ないだろw

    金がかかるから認証無しもアリもフリーパスにしたらおかしくなるだろう
    逆に暗号化されてる分が安全だと言いたいのなら
    実装を変更して認証と暗号化で警告を分けるかアドレスのURLの背景色を分けて
    ・緑は認証パス、暗号化OK
    ・水色は暗号化OK
    ・白は素
    とかって分けるとかかな

    もっと踏み込んでやるなら
    手数料程度の実質無料の証明ベンダーのコミュニティを立ち上げて運営するかだろう
    • by jbeef (1278) on 2008年08月06日 18時41分 (#1398249) 日記

      実装を変更して認証と暗号化で警告を分けるかアドレスのURLの背景色を分けて
      ・緑は認証パス、暗号化OK
      ・水色は暗号化OK
      ・白は素 とかって分けるとかかな
      Firefox 3では既に、緑、青、白の3段階です。その意味するところは以下です。
      • 緑(組織名表示): 組織の実在証明あり、暗号化OK。
      • 青(ドメイン名表示): 暗号化OK。
      • 白: 暗号化なし
      オレオレ証明書の場合は、青と白の間です。仮にそれを紫で表現するとしたら、
      • 緑(組織名表示): 組織の実在証明あり、暗号化OK
      • 青(ドメイン名表示): 暗号化OK
      • 紫: 中間者攻撃で盗聴が可能な暗号化モドキあり(受動的な盗聴は防止できるが、能動的な盗聴や改ざんを防止できない)
      • 白: 暗号化なし
      となります。今文句を言っている人達は、この紫が欲しいのでしょうけども、その彼らもその意味を理解しているのか疑わしいです。青と同じセキュリティレベルと勘違いしているのではないですか?

      もっと踏み込んでやるなら 手数料程度の実質無料の証明ベンダーのコミュニティを立ち上げて運営するかだろう
      以前、CAcertという団体がそれを目指していましたが、その後、監査法人の監査で不合格となり、Firefoxのルートへの登録申請も却下されました。安全な認証局運営を無料で実現するというのは無理があるのでしょう。
      親コメント
      • by Anonymous Coward

        青(ドメイン名表示): 暗号化OK。
        デフォルトではドメイン名は表示されないんじゃないですか?
    • > 実質無料の証明ベンダーのコミュニティ
      UPKIイニシアティブ [nii.ac.jp]とか。大学だけですが。
      --
      Your 金銭的 potential. Our passion - Micro$oft

      Tsukitomo(月友)
      親コメント
    • by Anonymous Coward
      そうですね。UIの問題ならまだ議論の余地はあるかも。
      根本的にSSL/TSLが何なのか教育不足なんじゃないかな。
      EV SSLが出てきた背景も、たとえ正規でもSSLが蔓延して信用できなくなってきたからってのがありますからね。
      SSLを扱うブラウザやサイトがもっと一般人にわかるように説明していくべき
    • by Anonymous Coward
      3段階もの認証状態を通常の人間に理解させるのは不可能というのがブラウザベンダのコンセンサスなんじゃないかな。。

      そもそも、ブラウザのユーザがそこまで高度に暗号プロトコルを運用できるんなら、
      SSHみたいに、その場でフィンガープリント確認してCAを組込むようなインターフェースが有っても良いはず。

      もっとも、WindowsやMacOSのPKI実装はHTTP以外の何にでも登録したCAの主張が優先されて
      ユーザが証明書の用途を事実上設定できないという問題があるので難しいけど。
    • Re: (スコア:0, 参考になる)

      by Anonymous Coward
      「有料だから信用できる」と勘違いする人が増えているのは、
      実害だと思います。

      Firefox3で警告が出ない証明書を取得するのは、悪意の人物でも
      可能なことに気づいてください。

      たとえば、どこかの銀行がオンライン窓口を提供するために、
      代行会社のサービスを使うことは良くある話です。
      しかし、一般顧客からみれば、それが銀行から委託された正当な
      業者なのか、またはそれを装った悪意のフィッシングサイトなのか
      区別は付きません。

      さて、運のいいことに、オレオレ証明書の警告が出ない、正当な
      サイトを表示できたとしましょう。
      しかし、そのサイトが改竄されていない保障はありません。
      妙なスクリプトが仕掛けられているかもしれません。
      外部から攻略可能な脆弱なサーバーでさえ、警告の出ない証明書を
      使うことは可能なのです。

      高木氏が「オレオレ証明書」なんて用語を広め、「自己認証局の
      証明書を批判するのがクールだなんて誤解を生んだのは
      間違った流れのような気がする。
      • by Anonymous Coward
        > 「有料だから信用できる」と勘違いする人が増えているのは、
        > 実害だと思います。

        増えていますかね? そんな人。
        「そんな人が増えている」と思い込んでいるだけじゃないですか?

        「正規の証明書」が信頼できるのではなく、「正規でない証明書」は「何も証明しない=証明書ではない」というだけの話です。
        その上で、珍妙な「証明書でない証明書」なるものを使うのは、

        ・問題点を理解していない者
        ・理解しているけれど、(お金がないor面倒といった理由で)認証されているフリをしたい者
        ・詐欺師

        のいずれかじゃないですか?

        正規の証明書が何らかの理由で取得できないのら、HTTPで構わないじゃないですか。
        どのみち傍受や改竄を防げないのですから。
        • by Anonymous Coward
          >「正規でない証明書」は「何も証明しない=証明書ではない」というだけの話です。

          いいえ、それは正確ではありません。
          ここで言われている正規な証明書とは、「Mozillaでは、たぶん信用できるだろう」と
          あらかじめ証明を確認されているだろうものとして扱っているだけです。

          ここで言われている正規でない証明書でも、きちんとブラウザに正しいやり方で
          インストールすれば、下手な正規の証明書なんかよりも信頼性の高い証明書に
          なりますので、あなたのように「何も証明しない=証明書ではない」と
          思い込んでいる人が増えているという話なんです。

          MozillaやMSが、「直接は確認していないけど、ここの認証局で認めたなら信用できる
          と思うよ」と言って勝手にインストールされた証明書と、
          接続先の相手から、直接的に間違いない方法で受け取った証明書では、
          どちらが信用できる証明書なのか明白ですよね。

          • by Anonymous Coward
            「信用」と「証明」が同じものと考えているのでしたら、そうかもしれませんね。
            私は違いますけど。

            「正規の証明書」は、信用できることを意味していません。
            その違いが分からないから、「証明書を取得するのは、悪意の人物でも可能」という頓珍漢な話になるのです。
          • by Anonymous Coward

            MozillaやMSが、「直接は確認していないけど、ここの認証局で認めたなら信用できる と思うよ」と言って勝手にインストールされた証明書と、
            接続先の相手から、直接的に間違いない方法で受け取った証明書では、
            どちらが信用できる証明書なのか明白ですよね。
            いいえ。両者は同等ですよ。
            なぜなら、偽の証明書を掴まされている可能性があるとすれば、どれかひとつが破られたら全体が破綻するので、
            前者は、勝手にインストールされた証明書のみ、
            後者は、勝手にインストールされた証明書 + 直接受け取った証明書
            なのですから、
            「勝手にインストールされた証明書」の信用性が低く偽証明書を掴まされる可能性があるとしても、後者が前者より安全性が高くなることはあり得ません。

            むしろ後者の方が、余分なものが増えているだけ、危険度は高まっているでしょ。

            • by Anonymous Coward

              MozillaやMSが、「直接は確認していないけど、ここの認証局で認めたなら信用できると思うよ」と言って勝手にインストールされた証明書と、 接続先の相手から、直接的に間違いない方法で受け取った証明書では、 どちらが信用できる証明書なのか明白ですよね。
              いいえ。両者は同等ですよ。
              いや、この人が言っているのは証明書同士の比較なので、言っていることは間違ってないです。 信頼性は(一般論では)認証局を介さない分向上します。
              この人はデフォルトで入っているルート証明書を全部削除して使ってるんでしょう。

              元の話に戻ると、「直接的に間違いない方法」ってのが周知されていないし煩雑で確実でないから 不特定多数の一般人には利用されられるもんではないというのが問題なのです。 誰でも確実・簡単にできる方法があるのなら、そっちの方法でも構いません。あなたが その方法を周知させてください。それをしないとなぜ危険なのかの説明もお忘れなく。
    • by Anonymous Coward

      もっと踏み込んでやるなら手数料程度の実質無料の証明ベンダーのコミュニティを 立ち上げて運営するかだろう
      #1398017 [srad.jp] にも書きましたが、個人対象の無料の認証局なら既にあります。

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

処理中...