パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

e-TaxのWebサイト、Firefoxでは信頼できないSSL証明書を使ったサイトと認識される」記事へのコメント

  • by Anonymous Coward
    ブラウザにプリインストールされているルート証明書が
    オレオレよりも信頼できると考える理由がわからない。
    • by Anonymous Coward
      署名も確認せずにブラウザをインストールしたのですか?
      • by Anonymous Coward
        XPをインストールすると署名の確認などなしにいくつかの
        ルート証明書を信頼済みにしたIEがインストールされます。

        で、そういうルート証明書がオレオレ証明書より信用できる
        理由はどこにもないと思うのですが、どうでしょう。
        オレオレ証明書を信用しろといってるのではなく、
        正規の証明書もオレオレと全く同様に、信用しないのが
        いいのではないかと思うのです。
        • by Anonymous Coward

          突き詰めるなら、ブラウザなどにプリインストールされている証明書はいったん全て削除し、信頼できる証明書を自分で選定してインストールすべきですね。
          以前Comodoの再販業者が、身元確認もせずに正規の証明書を発行して問題になっていました [srad.jp]し。

          # 面倒なので僕はやってません

          • by Anonymous Coward
            そもそも信頼できるルート証明書なんて存在しえるんでしょうか?

            私だったら、友人Aを信頼していたとしても、
            彼が「こいつは大丈夫」と太鼓判を押すB氏を
            Aと同等に信頼することは出来ません。
            • Re: (スコア:2, すばらしい洞察)

              「こいつは大丈夫」って意味じゃなくて「こいつはB氏本人です」って意味に過ぎませんよ。

              B氏を信用するかどうかはあなた次第。信用しないなら、そのサービスを利用しなければいいだけです。

              • by Anonymous Coward
                #1706537です。
                おっしゃるとおり。勘違いしてました。

                問題は、認証局そのものを信用していいものかどうかが
                わからんというところだった、というわけですね。
                Trusted AuthoritiesにはいってるAAAとかいう
                名前を聞いたこともない会社が、この人はBさんですと
                保障してくれても、だから何? と。

                # まだ何か間違ってるかな...
              • Re: (スコア:1, すばらしい洞察)

                by Anonymous Coward

                あなたにとっては名前を聞いたことがない会社かもしれませんが、
                ブラウザの開発元が「信用していいよ」っていってる組織なのです。
                それすら信頼できないというのは単に価値観の話ですが、少なくともオレオレ証明書と同等だとは思えません。

                「ルート証明書もオレオレ証明書と同様に信頼できない。」
                 A:「だから、すべてのサイトで秘密情報を一切送信しない。」
                 B:「だから、オレオレ証明書のサイトでも躊躇なく秘密情報を送信する。」
                Aならともかく、Bは無いと思います。

              • by Anonymous Coward
                ブラウザの開発元をある程度信頼してますが、それはトロイの木馬を
                仕込んだりはしないだろうという意味での信頼で、
                彼らに認証局が信頼できるものかどうかを判定する能力が
                あると考えているわけではない、としたらどうでしょうか。

                私のスタンスは、秘密情報を送信するかどうか判断する際に
                証明書がオレオレかどうかは判断材料にしない、です。
                どなたかが書いてましたが、プリインストールのルート証明書を
                全部消すのと同じイメージ。BよりはAに近いか、と。
              • by bero (5057) on 2010年01月22日 13時18分 (#1707041) 日記

                ブラウザの開発元が認証局が信頼できるものかどうかを判定しているわけではなくて、
                WebTrustつまり米国とカナダの公認会計士協会が判定したものを受け入れているだけです。

                とはいえ最終的に判断するのはブラウザの開発元なので、
                例えばIEはMicrosoftの独自認証局が入ってたり、WebTrust認定されてない段階で日本政府をフライング登録 [srad.jp]したりしますが。

                親コメント

※ただしPHPを除く -- あるAdmin

処理中...