パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Firefox 3のSSL対応方針、どう思う?」記事へのコメント

  • いままで、SSL取得の際に身元確認とか
    なんらかのチェックを受けたことが無いのだが…
    金さえ出せば誰でも正規の SSL が取得できてしまう現状、
    オレオレとどこが違うのだろう。
    • by tnk (13707) on 2008年08月06日 14時26分 (#1398003)
      >いままで、SSL取得の際に身元確認とか
      >なんらかのチェックを受けたことが無いのだが…

      それはクラス1のSSL証明書ですね。ちゃんと届くメールアドレスさえ持っていれば,お金を出せば取得できます。クラス2やクラス3であれば,書類などで実在確認をした上でないと発行されません。

      従来のSSLでは,証明書のクラスによってブラウザの動作が変わるわけでなく,そのような状況では「オレオレとどこが違うの」みたいな話が出るのも仕方がない側面もあり,その反省からEV SSL証明書 [google.co.jp]とかが作られてたりしてます。
      親コメント
      • by Anonymous Coward on 2008年08月06日 15時15分 (#1398042)

        ちゃんと届くメールアドレスさえ持っていれば,
        ここで、「そのメールアドレスのドメイン(@の右側)に対応するURLの証明書しかゲットできない」 という制限がかかっているところがミソ。 そこを履き違えなければ「オレオレとどこが違うの」なんて話にはならない。
        # だからドメインを確認しろってあれほど言ってるのに……
        親コメント
        • by Anonymous Coward
          いや、ドメインだって今時1000円弱で買える。
          そんなドメインに対する保障にのみ基づくSSL証明書って信頼できないよ。
          個人的にはベリサインとかサイバートラストとか、厳密な個人・企業の証明を
          求め、なおかつ高い金を払ってやっと発行されるようなものじゃないと信頼し
          たくない。
          • by Anonymous Coward
            だ、か、ら。
            SSL証明書が「最低限」保証するのは、「確かにそのドメインにつながっている」ってことなの。
            そのドメインの持ち主を信頼するかどうかは別の話。

            で、オレオレ証明書は「確かにそのドメインにつながっている」ことさえ保証できないの。

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

処理中...