パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

なぜすべての Web サイトが HTTPS を使わないのか ?」記事へのコメント

  • IPベースのバーチャルホストなら問題ありませんけど、Name-based Virtual Hostだと面倒じゃないですか。

    昨日の偽証明書事件で、Microsoftにパッチ取りに行ったら、平のhttp、あるいはhttps/http混在ページからダウンロードするようになっていたのには驚きましたけど。

    • Re: (スコア:2, 参考になる)

      ブラウザも対応してきているし、それほど面倒でもないでしょう。ちょっと古い記事だけど
      Apacheの設定を変更し、単一IPアドレス上で複数のSSLサイトを運用する [zdnet.com]
      • 現時点ではSNIよりSubject Alternative Nameによるマルチホストのほうが現実的かと

        親コメント
        • レンタルサーバとかで複数の利用者が相乗りする場合、Subject Alternative Name は使えませんね。
          一方のSNIも「XPのIEは対応していない」ので実用的には使えなかったりしますけど…

          結局のところ、実用上は Name Based Virtual Host を諦めて IP Based にするしかないでしょう。

          親コメント
          • レンタルサーバで独自SSLをうたうところはSSL用のIPを1つくれるので、そのIPでSubject Alternative Nameを使えばいいと思います。公式には1ドメインしかサポートしていないかもしれませんが、.htaccessで振り分けるとかすれば

            親コメント
          • by Anonymous Coward

            >レンタルサーバとかで複数の利用者が相乗りする場合

            無関係のユーザが同一ホストに相乗りしてるレンサバの HTTPS は信用ならん。
            HTTPS で経路を守っていても、同一ホスト内の他ユーザから入力された情報が丸見えになってるかもしれん。
            実際はそういうことがないように対策されてるかもしれないけど、外部からはそれを検証できない。

            ついでにいうと、共用レンサバに限ったことじゃないけど、
            入力された情報を担当者の手元に持ってくるのに素の ftp を使ってるサイトもあったりする。
            HTTPS で暗号化した意味ないじゃん。

            考慮しなきゃいけないことはたくさんあって、HTTPS は数ある要素のうちのひとつでしかない。
            HTTPS を使えばそれで全部解決するってわけじゃないのに、それを忘れた議論が多すぎる。

人生unstable -- あるハッカー

処理中...