パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Firefox 3のSSL対応方針、どう思う?」記事へのコメント

  • いやだって安全じゃないでしょ。
    まったく無関係の個人・法人が「○○銀行」のサイトを偽造しているかも、という可能性の意味で。

    ところで、このFirefoxの警告、オプション⇒セキュリティで「偽装サイトとして報告されているサイトを表示するときに警告する」とか、
    その下の警告メッセージで「強度の低い暗号化を使用しているページを表示するとき」のチェック
    (デフォルトで入っている)をなくすと消えたりしないの?
    #過去報告のあった「オレオレ証明書」サイトは改善されていて試せないorz
    ##こういうときのデモ用に「オレオレ証明書デモサイト」とかどこかに無い?

    本家の「ユーザビリティ」がどうの、とタレコミ本文のリンク先コメントみると、
    この警告見たくないからFx2.xにダウングレードしたってあるけど、
    それよりはFx3.xでこのオプション無効にする方がまだマシかと思うのだが。
    • Re: (スコア:-1, フレームのもと)

      by Anonymous Coward
      そもそも、正規の証明書であったとしても、確からしさが若干増すだけで安全というわけではない。
      だから、自己署名だろうが認証局から買おうがいっしょさ。
      • > そもそも、正規の証明書であったとしても、確からしさが若干増すだけで安全というわけではない。
        > だから、自己署名だろうが認証局から買おうがいっしょさ。

        (ちょっと釣りっぽいけど返事してみる)
        まあいろんな要素が混じってるので、どれに重きをおくかで相対的な安全性の差って変わってくるわけですが。

        正規の証明書であれば、https://bankofhoge.com/ にアクセスしている時に、
          (A) 「相手が確かにbankofhoge.comの所有者である」
        ことは保証されますね。自己署名ではこれが保証されません。ここが「差」です。

        一方、正規の証明書であろうが自己署名であろうが一般には
          (B) bankofhogeがアクセスしたかったBank of Hogeの正規サイトである
        ことは保証してくれません。(安いやつだとドメインを持ってる確認しかしないのが
        ありますよね。ああいう奴は証明書のOrganizationの項目とか適当かも。)

        (A)の有無を「若干」の差と言えるケースはあると思います。通信相手が
        本当はどこの誰だかを知る必要がない場合。つまりbankofhoge.comの
        実態がphishingfarm.comであっても差し障りがない場合。でもその程度の
        コンテンツなら、そもそもわざわざSSLにする必要は無いでしょうから、
        自己署名を使う理由がない。

        (B)が保証されないことを以って「安全というわけではない」というのは
        まあ論理的には間違いではないですが。ユーザが自分で(B)を確認
        しないとならないので。でも現状、ネット以外でauthoritativeなURLを
        知るチャネルはたくさんあるわけですから、(B)が保証されないことを
        誇張して(A)の有無を軽く言うのはミスリーディングでしょう。

        親コメント

※ただしPHPを除く -- あるAdmin

処理中...