アカウント名:
パスワード:
少なくとも、ベリサインはサーバ証明書として実在性を確認していない証明書は発行していませんし、またベリサインのCP/CPSは非常に緻密で十分に信頼に値すると思います。 確かに個人として購入するには高額では有りますが、その運営体制、知名度や安心感といった「ブランド力」を踏まえれば、それが重要であると考える人にはそれだけの価値は有ります。
そんなものには何の意味もありませんよ。誰も確認できませんから。 (その点 EV SSL なら意味がありますが。)
CP/CPSは誰でも確認できます。
そんなものは普通の利用者は確認しないし確認しろと言っても無理です。あなたはここの議論で、実際の運用の現実性も主張の根拠にしているのではありませんでしたか?
またブラウザの「信頼できる認証局」に標準で登録されるためには、WebTrust for CAに準拠する必要が有り、それには監査会社による定期的な外部監査が求められる事になっています。
それらはCAをルートに登録するのを決定するブラウザベンダや、その正しい運用状況を監視する一部の特別ユーザにとって可能になっていることに意味があるものです。
「ブランド力」に価値が有るかどうかは主観に基づくと思います。 しかし販売する商品自体に差異が無いのなら
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
サーバ証明書? (スコア:-1, 荒らし)
Re: (スコア:3, 興味深い)
いずれの技術も、巧みなマーケティングと情報操作によって
「必要不可欠なもの」の座を見事に勝ち取った。
必要以上に一般人の不安を煽り、導入していないのは悪だ無謀だとの認識を広め、
一部の企業が莫大な利益を上げている。
たちが悪いのは、「一般的な安全性」のハードルを上げることに成功しているため、
「導入せずとも安全だ」との角度から攻めても絶対に論破できないからである。
現実世界に例えれば、空き巣の被害にあった家庭に対して、
誰もが「セコムしてなきゃ当然だ。」と思うようになってしまったようなもの。
# オフトピであることには変わりないですが・・・
Re: (スコア:1)
ネットワークを介した相手がどこの誰なのかを確認したい場合、実在性を正しく認証した上で発行された証明書以外に、ネットワークを介して広く一般的に利用できる方法は存在しません。
『「導入せずとも安全だ」との角度から攻めても絶対に論破できない』のは、『必要以上に一般人の不安を煽り、導入していないのは悪だ無謀だとの認識を広め』ているからではなく、その「導入せずとも安全だ」という主張自体に誤りがあるからです。
Re:サーバ証明書? (スコア:1)
空き巣の被害にあった家庭に対して、
誰もが「鍵をかけてなきゃ当然だ。」と思うようになってしまったようなもの。
ってくらいだと思います。
Re: (スコア:0)
普通の技術仕様を満たした鍵をかけておけば空き巣被害を防げるのに、
ブランド物の鍵でないと空き巣を被害を防げないかのように誇大な宣伝
が蔓延しているのが実態だよ。
Re:サーバ証明書? (スコア:1)
貴方が何の事を言ってるのか判りません。
まず証明書は「普通の技術仕様を満たした鍵をかけておけば空き巣被害を防げる」ような代物では有りません。証明書は文字通り「証明書」であって「鍵」では有りません。鍵の持ち主が「どこの誰なのか」を示す物であり、その書式や意味に関する技術仕様は有っても、「どこの誰なのか」という内容に関する「確からしさ」は技術仕様の範囲外です。
証明書が示す内容については、それぞれの認証局が証明書ポリシー(CP)や認証局運用規程(CPS)によって公開する慣例になっています。少なくとも予めブラウザに「信頼できる認証局」として組み込まれている認証局については、そのCP/CPSが公開されそれに従って運用されている事、また認証局の安全を維持する上で十分な設備を備えている事といった事などが、第三者の監査により証明されている事になっています。
しかしここで重要なのは、CP/CPSで公開された内容に嘘偽りは有りませんという意味で、その認証局は「信頼できる」と言えますが、必ずしも証明書の認証手続きで発行対象の実在性は必須事項ではないという事です。ドメインの到達性を確認した上で証明書を発行するとCP/CPSに謳えば、(EV-SSL証明書でなければ)その「信頼できる認証局」はその認証方針に従った実在性を確認していない証明書を発行できるのです。
そういった証明書を受け取っても、通常はブラウザの警告は表示されません。実在性を確認していない証明書ですから、フィッシングサイトでそれを使えばパスワードなどの機密情報を盗み取る事は十分に可能です。
運用面の重要さを理解されていないのではないでしょうか。「普通の技術仕様を満たした鍵をかけておけば空き巣被害を防げる」というのは、貴方の認識不足です。
少なくとも、ベリサインはサーバ証明書として実在性を確認していない証明書は発行していませんし、またベリサインのCP/CPSは非常に緻密で十分に信頼に値すると思います。
確かに個人として購入するには高額では有りますが、その運営体制、知名度や安心感といった「ブランド力」を踏まえれば、それが重要であると考える人にはそれだけの価値は有ります。
貴方の言うような「誇大な宣伝」ではなく、それだけの実績は有ると思います。
Re: (スコア:0)
そんなものには何の意味もありませんよ。誰も確認できませんから。
(その点 EV SSL なら意味がありますが。)
Re:サーバ証明書? (スコア:1)
CP/CPSは誰でも確認できます。
またブラウザの「信頼できる認証局」に標準で登録されるためには、WebTrust for CAに準拠する必要が有り、それには監査会社による定期的な外部監査が求められる事になっています。
誰も確認できないというのは誤りです。
これらの枠組みは、現在の情報セキュリティの基準として頻繁に登場するBS7799に遡る事ができます。それに意味が有ると感じるか意味が無いと感じるかは本人の主観に依存しますが、「何の意味もありません」と断言する理由が「誰も確認できません」という誤った認識に基づくのなら、ちょっと勉強不足ではないでしょうか。
「ブランド力」に価値が有るかどうかは主観に基づくと思います。
しかし販売する商品自体に差異が無いのならば、それらの商品を差別化する最終的な条件が「ブランド」であるという事を知るべきでしょうね。もちろんブランドが力を持つ事ができるのは、そのブランドを確立するまでの実績が有る事は言うまでも有りません。
> (その点 EV SSL なら意味がありますが。)
なぜEV-SSL証明書なら意味が有るのですか?
EV-SSLは認証方式が標準化されているので、EV-SSLならどの認証局でも同じ認証基準で発行されているのですよ。それこそベリサインでなければならない理由は有りません。
第一、既にきちんと実在性を確認した証明書を使っているのなら、通常のSSL証明書でも相手を確認する手段として十分に条件を満たしています。ベリサインの通常の証明書でも高額すぎるという主張であるにも関わらず、それより遥かに高額なEV-SSLなら良いというのは全く理解できません。
Re: (スコア:0)
そんなものは普通の利用者は確認しないし確認しろと言っても無理です。あなたはここの議論で、実際の運用の現実性も主張の根拠にしているのではありませんでしたか?
それらはCAをルートに登録するのを決定するブラウザベンダや、その正しい運用状況を監視する一部の特別ユーザにとって可能になっていることに意味があるものです。
Re:サーバ証明書? (スコア:1)
はい、仰るとおりです。しかしそれは議論の争点とは何ら関係が有りません。
サーバ証明書が
・意味のない商品(#1481277 [srad.jp])
・必要以上に一般人の不安を煽り、導入していないのは悪だ無謀だとの認識を広め(#1481316 [srad.jp])
・導入せずとも安全(#1481316 [srad.jp])
・普通の技術仕様を満たした鍵をかけておけば空き巣被害を防げる(#1481763 [srad.jp])
・(ベリサインが実在性認証された証明書しか発行していない事、CP/CPSの内容も緻密で信頼に値する事、「ブランド力」が重要であると考える人には価値が有るという事に対して)何の意味もありませんよ。誰も確認できませんから(#1482008 [srad.jp])
という物であるという主張に対する反論ですので、CP/CPSの難解さは全く関係が有りません。
逆に言えば、CP/CPSが難解である事はこれらの主張を肯定する理由にはなりません。
> それらはCAをルートに登録するのを決定するブラウザベンダや、その正しい運用状況を監視する一部の特別ユーザにとって可能になっていることに意味があるものです。
いいえ、それは違います。
然るべき資格を有した第三者による監査を実施するのは、直接の利害関係者だけに意味が有るものではなく、その監査の結果として認定される事柄を利用する全ての人に意味が有る物です。それはWebTrustのような情報セキュリティの監査だけではなく、会計監査やISO関連の監査でも同様に言える事です。
> 一般の利用者が区別しないのですから何の意味もありません。
いいえ、「一般の利用者が区別しない」のではなく「貴方が区別しない」のです。貴方は一般の利用者を代表しません。
また何らかの方法で認証局を区別する事は情報セキュリティの観点からも十分に意味が有る事です。なぜなら、サーバ証明書の信頼度は証明書を発行した認証局の信頼度を超える事は有り得ないからです。自分が信頼していない認証局が発行した証明書を避けるのはPKIを正しく認識した行動と言えますし、少なくとも「区別しない」事は推奨される事では有りません。
またサーバ証明書を利用したページを参照する利用者(検証者)が認証局を区別するかしないかは一概には言えませんが、少なくともサーバ証明書の登録者が、検証者が認証局を区別する可能性を踏まえて、登録先の認証局を区別し選択するのは一般的と言って良いです。サーバ証明書の対象サーバで取り扱う情報が高価であればなおさらの事です。
貴方が認証局を区別しない事は全く否定しませんが、認証局を区別する事が「意味が無い」と思うのは、一般論として通用する話ではなく、貴方の主観に過ぎないと知るべきです。サーバ証明書の市場占有率にそれは現れています。
> 一般の利用者が区別するからです。ブラウザが偽装不能な方法でアドレスバーに緑色で常時表示するからです。
ブラウザは通常のSSL証明書とEV-SSL証明書を区別しますが認証局を区別しません。
> その通りで、認証局にブランド価値があるかのように誤解させる詐欺まがい商法の横行が、EV SSLの登場で粉砕されるのは世の中皆にとって良いことです。
EV-SSLで認証局を区別する事は「意味が有る事」なのですか?
EV-SSLで認証局を区別する事が「粉砕されるのは世の中皆にとって良いこと」なのですか?
「意味が有る事」であるにも関わらず「粉砕されるのは世の中皆にとって良いこと」というのは、一体どういう論理なのか、支離滅裂で何を主張しているのか全く理解できません。
それとも通常のSSL証明書は「意味が無い事」であり、EV-SSL証明書は「意味が有る事」だという主張ですか?
しかしEV-SSL証明書を発行できる認証局は、通常のSSL証明書を発行できる認証局より、遥かに厳格な運営と設備が必要となります。EV-SSL証明書を発行できる一部の体力の有る認証局だけに選択肢は限られてきますし、通常のSSL証明書より遥かに高額な証明書ですから、より「ブランド力」は重視されるでしょう。仮にEV-SSL証明書が採算に合うとしたら、ベリサインだけになるように感じます。
もし、実在性認証された通常のSSL証明書は「意味が無い事」であり、EV-SSL証明書は「意味が有る事」であると貴方が感じているのなら、それこそ「EV-SSLに価値があるかのように誤解させる詐欺まがい商法の横行」が有るのではないかと感じますね。