アカウント名:
パスワード:
カスタマーの証明書に対する安全意識が麻痺するような気がする
発想の転換というか……、本家でも書かれていますが、オレオレhttps を https として扱うから安全意識うんぬんの話になるのであって、ダダモレ http と同じものとして扱えば大丈夫なのではありませんか?http://tech.slashdot.org/comments.pl?sid=2047006&cid=35558680 [slashdot.org]
アドレスバーの色も変えない、その代わり警告も出さない。
じゃあ http でええやん、ということになりますが、とりあえずその(誰だかわからない)証明書の持ち主との経路では暗号化されますし、証明書をストアしておけば相手が変わった時に気付けますし。ちょっとはマシなんじゃないかと。
#ただし絶対に、本当の https の代替として使わないこと!#オレオレは貧乏人の ssl として使ってはいけない! お兄さんとの約束だぞ
>とりあえずその(誰だかわからない)証明書の持ち主との経路では暗号化されますし
ものすごく的確な故に誤解を誘う書き方だな。確かに「証明書の持ち主」という書き方であれば、暗号化通信は担保される。しかしオレオレの問題は「証明書の持ち主」=「オレオレサイトの持ち主」であることを検証できない点にあり、「どこの誰とも分からないオレオレサイト」と繋がってるかどうかすら保障できないということを、どれだけの人が理解できているだろうか。
>「どこの誰とも分からないオレオレサイト」と繋がってるかどうかすら保障できないということを、>どれだけの人が理解できているだろうか。
それは理解できなくていいものとしてオレオレ証明書をhttp扱いする、という提案なんです。普通のhttp だって、そこは担保されてないんですから。(ブラウザの使い始めは、google にクエリを出す時さえ警告されますよね、確か)
ブラウザの反応は現状:「おいおい httpsって言ってるのにルートねえよ、ヤベーって!」
ですが、httpsっていうだけで高い要求をせずに、「はいオレオレですね、クレカ番号は入れないでくださいねー」という(http と同じ)反応にしてもいいんじゃないかと。
それは理解できなくていいものとしてオレオレ証明書をhttp扱いする、という提案なんです。
それよりもブラウザに「オレオレ」と赤い文字で表示すればいいだけだと思う。 それが何を意味するのか知っている人は知っているなりにアクセス(する|しない)し、知らない人はどうせhttpと同じように何も考えずにアクセスするのだから。 そして「オレオレ」表示が出るのが嫌なサイトオーナーはそれが出ないように(考える|下請けに指示する)ようになるだろうし。
安全性が疑わしい状況で根拠もなく「安全です!安全です!」って言う奴は、そこいらの見知らぬ人より断然胡散臭く感じるんだが…
あー、他意はありません、念のため。
信頼できない認証局 [srad.jp]が発行した証明書よりも信頼できる方法で検証可能な第四種オレオレ証明書 [takagi-hiromitsu.jp]の方がずっとセキュアだと思うのですが…まぁ不特定多数に公開するには向かないのですが、企業内で使うグループウェアなどで用途はあります。オレオレ証明書は悪、認証局発行の証明書は善といった二元論にならないことが大事ですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
オレオレ証明書で作るhttpsサイトが増えると (スコア:1)
カスタマーの証明書に対する安全意識が麻痺するような気がする
Re:オレオレ証明書で作るhttpsサイトが増えると (スコア:0)
発想の転換というか……、本家でも書かれていますが、
オレオレhttps を https として扱うから安全意識うんぬんの話になるのであって、
ダダモレ http と同じものとして扱えば大丈夫なのではありませんか?
http://tech.slashdot.org/comments.pl?sid=2047006&cid=35558680 [slashdot.org]
アドレスバーの色も変えない、その代わり警告も出さない。
じゃあ http でええやん、ということになりますが、
とりあえずその(誰だかわからない)証明書の持ち主との経路では暗号化されますし、
証明書をストアしておけば相手が変わった時に気付けますし。
ちょっとはマシなんじゃないかと。
#ただし絶対に、本当の https の代替として使わないこと!
#オレオレは貧乏人の ssl として使ってはいけない! お兄さんとの約束だぞ
Re: (スコア:0)
>とりあえずその(誰だかわからない)証明書の持ち主との経路では暗号化されますし
ものすごく的確な故に誤解を誘う書き方だな。
確かに「証明書の持ち主」という書き方であれば、暗号化通信は担保される。
しかしオレオレの問題は「証明書の持ち主」=「オレオレサイトの持ち主」であることを検証できない点にあり、
「どこの誰とも分からないオレオレサイト」と繋がってるかどうかすら保障できないということを、
どれだけの人が理解できているだろうか。
Re: (スコア:0)
>「どこの誰とも分からないオレオレサイト」と繋がってるかどうかすら保障できないということを、
>どれだけの人が理解できているだろうか。
それは理解できなくていいものとしてオレオレ証明書をhttp扱いする、という提案なんです。
普通のhttp だって、そこは担保されてないんですから。
(ブラウザの使い始めは、google にクエリを出す時さえ警告されますよね、確か)
ブラウザの反応は
現状:「おいおい httpsって言ってるのにルートねえよ、ヤベーって!」
ですが、httpsっていうだけで高い要求をせずに、
「はいオレオレですね、クレカ番号は入れないでくださいねー」
という(http と同じ)反応にしてもいいんじゃないかと。
Re:オレオレ証明書で作るhttpsサイトが増えると (スコア:2)
それよりもブラウザに「オレオレ」と赤い文字で表示すればいいだけだと思う。
それが何を意味するのか知っている人は知っているなりにアクセス(する|しない)し、知らない人はどうせhttpと同じように何も考えずにアクセスするのだから。
そして「オレオレ」表示が出るのが嫌なサイトオーナーはそれが出ないように(考える|下請けに指示する)ようになるだろうし。
Re:オレオレ証明書で作るhttpsサイトが増えると (スコア:1)
安全性が疑わしい状況で根拠もなく「安全です!安全です!」って言う奴は、そこいらの見知らぬ人より断然胡散臭く感じるんだが…
あー、他意はありません、念のため。
Re: (スコア:0)
信頼できない認証局 [srad.jp]が発行した証明書よりも信頼できる方法で検証可能な第四種オレオレ証明書 [takagi-hiromitsu.jp]の方がずっとセキュアだと思うのですが…
まぁ不特定多数に公開するには向かないのですが、企業内で使うグループウェアなどで用途はあります。
オレオレ証明書は悪、認証局発行の証明書は善といった二元論にならないことが大事ですね。