パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SSL証明書警告の対処法、「無視する」はNGです」記事へのコメント

  • SSLが必要か? (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2010年02月16日 12時41分 (#1718644)
    セミナーの申し込みって、SSLが必要なのか?

    途中で盗聴されて個人情報が漏れるよりも、
    セミナー主催者の悪意や不手際で漏れる方が
    よっぽどありそうなんだが。
    • by Anonymous Coward
      >途中で盗聴されて個人情報が漏れるよりも、

      機密性の問題ではありません。信憑性の問題です。
      いまだに、SSLといえば暗号化しか思いつかない人もいるんですね。
      何故フィッシングが成功するか理解できてますか?
      何故EV SSLが必要となったか理解できてますか?

      >セミナー主催者の悪意や不手際で漏れる方が
      >よっぽどありそうなんだが。

      「よっぽどありそう」だとあなたが思うリスクがあるからといって、
      その他のリスクを無視していいということはありません。
      • Re:SSLが必要か? (スコア:3, 参考になる)

        by nmaeda (5111) on 2010年02月16日 13時51分 (#1718717)

        証明書の本人確認って、郵便の到達や紙の書類で確認するだけなんだよね?

        例えば登記簿謄本とかで確認するんだろうけど、海外の業者にどれだけ有効なんだろ? 丁寧にニセモノを作れば騙せそうな気がするんだけど。郵便は民間の私書箱でも使えば問題ないし。

        日本でそれなりに有名な企業名を名乗っていたとしても、それを知らないかもしれないし、有名企業の社名やブランド名と同じ名の零細企業があったとしても、それが即、商標法違反というわけでもないから、ニセモノだと判断できない気がする。この辺り、どんな運用なんだろうね。

        SSLは充分に有用な仕組みだとは思うんだけど、かといって、それほど信用できるものでもない気がする。

        親コメント
        • Re:SSLが必要か? (スコア:3, 参考になる)

          by nisiguti (1286) on 2010年02月16日 19時53分 (#1719015)
          証明書を発行する認証局や、取得しようとする証明書の種類によって違いますね。

          代表的な実在性認証を行う証明書では、ドメイン名登録者との整合性、登記簿謄本などを用いて実在性、電話で本人性を確認しています。
          またドメイン認証と呼ばれている安価な証明書では、ドメイン名を登録した時に申告したメールアドレスに届くメールアドレスがWhois情報に公開されていますので、そこにメールが届けば認証したとみなす模様です。

          悪意の有無とは関係なく同名の企業は存在します。ですから、実在性認証をした証明書を使っていても、通信相手の企業が自分が目的とする企業なのかは、証明書を受け取った利用者が確認する必要が有るでしょうね。厳格には毎回確認すべきと思いますが、そこまでしなくとも初めて参照したWebサイトでは証明書の記載事項を確認するのが良いと思います。
          ドメイン認証の証明書では、企業団体名の記載はきっと無いと思いますので、そのドメイン名が確実に目的のドメイン名であると確信が持てなければ、とりあえず怪しいと疑っても良いと思います。

          フィッシングサイトなど偽サイトを運用する側から見れば、仮に証明書を取得しようとするなら、手間暇を掛けた上に多額の代金を支払わないといけない実在性認証の証明書を取得するより、遥かに簡単に安価なドメイン認証の証明書を取得するように思いますね。

          SSLだから信用できるという物ではなく、証明書の中身をきちんと見て、通信相手が目的の相手だと利用者自信が確信を持てる事が重要だと思いますね。
          親コメント
        • Re:SSLが必要か? (スコア:1, すばらしい洞察)

          by Anonymous Coward on 2010年02月16日 14時28分 (#1718736)

          「SSLなんて大して信用できるものではありませんから、自己責任と割り切っていい加減に証明書をインストールしてください」と書かれていたならそれはそれでかまいませんが、
          > 安全なHTTPS環境でのサイト表示をおこなっておりますので、「はい」を選択して続行してください。
          などと正反対のことが書かれていました。おまけに
          > この表示を出さなくするためには、SSL証明書をご使用のパソコンにインストールしてください
          などと、マトモに運用しようと努力している人たちの足まで引っ張っていました。だから叩かれたのです。

          ところで今見たらもう該当のページは消えてますね。とりあえず素早い対応は率直に評価できます。

          親コメント
      • by Anonymous Coward
        > 「よっぽどありそう」だとあなたが思うリスクがあるからといって、
        > その他のリスクを無視していいということはありません。
        そうかな。
        底に穴の開いたバケツに、穴のあいたホースで水を注いでいるとしよう。
        バケツの穴をふさがずにホースの穴を修理しようとすることにどんな意味がある?
        • by Anonymous Coward

          ×:底に穴の開いたバケツに
          ○:底に穴のありそうなバケツに

          問題が明らかなホースを放置して、あるかどうかも分からない穴を最初に塞ごうとするあなたが滑稽です。

    • >途中で盗聴されて個人情報が漏れるよりも、
      >セミナー主催者の悪意や不手際で漏れる方が
      >よっぽどありそうなんだが。

      なるほど、不手際で漏れた場合に、
      盗聴されていたことにするために、
      SSLを使わないようにした方が良さそうですね。

    • by Anonymous Coward
      主催者間でも SSL を通して会話しておりますので問題ありません
      • by Anonymous Coward

        えー
        本日はお忙しい中セミナーにお集まりいただきありがとうございます。
        ではお手持ちのクライアント証明書をご提示・・・え?
        持ってきていない?

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...