パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

クラックされた認証局から偽のSSL証明書が発行される」記事へのコメント

  • 中国みたいな金盾(のようなもの)完備の国だと、こうやって入手した証明書を使ってSSLを検閲し放題だよねー、

    って誰かが書いてたのを見て目から鱗だった。

    • by Anonymous Coward
      タダの証明書ではなくて、「他の証明書を署名する権限付きの証明書(の秘密鍵)」じゃないとダメですね。
      その場合も証明書のパスが変なことになるので(Comodoが証明する~があり、googleのSSLが~により証明されている状態、等)ユーザからすれば確認可能な状態が維持されます。

      証明書のパスをごまかすには、ユーザ側に攻撃者の証明書を受け入れさせておくかユーザが受け入れている証明書の秘密鍵を強奪する必要があるので現実的ではありません。

      尤も一々確認する人は少ないでしょうし、署名する権限さえ手に入れてしまえば十分脅威ではありますが…

普通のやつらの下を行け -- バッドノウハウ専門家

処理中...