アカウント名:
パスワード:
「暗号化」と「本人である事が安心なのか」はすべて別なのであります!フィッシングサイトだってちゃんとSSLを使っているんだしねwオレオレ証明書が難無く通る仕組みを作ったうえでSSLの強制化を話してくださいwオレオレでも暗号化については”同等に安全”なのは知ってるはずだろう?でなければやはり商売の香りがぷんぷんする。
オレオレを締め出した上に本来のSSLの趣旨であろう企業証明書?が別は枠で出来上がったのはなんでだろうね。
中間者がいる、つまりパケットを盗聴して、変なパケットを送りつけられる、という前提で、オレオレ証明書のサイトはどこの誰だか安心できないっていうのを知った上で?
その証明書(CA/クライアント/サーバー)が全部オレオレでも、全部自分で作成してあって、自分以外が接続しない(させない)サーバーに適用してある分にはまあいいんじゃね。自分のサーバー/クライアントとつながってるのは当事者なら分かるだろうし。もちろんprivate key等が流出していない前提だけど。
そんなわけで第三者が接続する必要があるなら真っ当なCAで署名された証明書がいるだろうけど、個人や企業内で使用するものに関してもverisign等の証明書使ってないとエラーになるとかいうのは勘弁してくれっていうのは理解できる。
エラーになるのはverisign等の証明書じゃないからではなく、登録されていない証明書だからですよ。 個人や企業内で使用するものであれば、自分で証明書をインポートすればエラーはでません [www.idal.jp]。
なお、真面目にセキュリティを考えるのであれば、インポートする証明書は別途安全な手段で受け渡す必要があります。 verisign等の登録済みの証明書で運用されているサーバーからダウンロードさせるか、それが出来なければUSBメモリで手渡す等です。 (セキュアドか何かの情報処理試験でそんな問題を見た覚えもあります。) オレオレ証明書のWebページからダイレクトにインポートすることも出来ますが、その場合ドメインが既にすりかえられていた場合に検証できません。
一応ここに
(#2126870) だけど、OSなりブラウザなりにインポートできるシステムではあんまり問題じゃないんだ。いまならガラケーがインポートできないシステムの筆頭だし、androidも4.0までは(VPN用途以外には)できなかった。上記のシステムはverisignのルート証明書等を決め打ちで持ってるけど、決め打ちじゃない手法が一般的に可能であるわけじゃないので書いてみた。この手法が一般的に可能になるにはインポートを行う側のリテラシが著しく向上しないと無理だろうけどね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
そもそも・・・ (スコア:0)
「暗号化」と「本人である事が安心なのか」はすべて別なのであります!
フィッシングサイトだってちゃんとSSLを使っているんだしねw
オレオレ証明書が難無く通る仕組みを作ったうえでSSLの強制化を話してくださいw
オレオレでも暗号化については”同等に安全”なのは知ってるはずだろう?
でなければやはり商売の香りがぷんぷんする。
オレオレを締め出した上に本来のSSLの趣旨であろう企業証明書?が別は枠で出来上がったのはなんでだろうね。
Re: (スコア:0)
中間者がいる、つまりパケットを盗聴して、変なパケットを送りつけられる、という前提で、オレオレ証明書のサイトはどこの誰だか安心できないっていうのを知った上で?
Re: (スコア:0)
その証明書(CA/クライアント/サーバー)が全部オレオレでも、全部自分で作成してあって、
自分以外が接続しない(させない)サーバーに適用してある分にはまあいいんじゃね。
自分のサーバー/クライアントとつながってるのは当事者なら分かるだろうし。
もちろんprivate key等が流出していない前提だけど。
そんなわけで第三者が接続する必要があるなら真っ当なCAで署名された証明書がいるだろうけど、
個人や企業内で使用するものに関してもverisign等の証明書使ってないとエラーになるとかいうのは勘弁してくれっていうのは理解できる。
インポートすればエラーでないよ (スコア:2, 参考になる)
エラーになるのはverisign等の証明書じゃないからではなく、登録されていない証明書だからですよ。
個人や企業内で使用するものであれば、自分で証明書をインポートすればエラーはでません [www.idal.jp]。
なお、真面目にセキュリティを考えるのであれば、インポートする証明書は別途安全な手段で受け渡す必要があります。
verisign等の登録済みの証明書で運用されているサーバーからダウンロードさせるか、それが出来なければUSBメモリで手渡す等です。
(セキュアドか何かの情報処理試験でそんな問題を見た覚えもあります。)
オレオレ証明書のWebページからダイレクトにインポートすることも出来ますが、その場合ドメインが既にすりかえられていた場合に検証できません。
Re:インポートすればエラーでないよ (スコア:1)
一応ここに
(#2126870) だけど、OSなりブラウザなりにインポートできるシステムではあんまり問題じゃないんだ。
いまならガラケーがインポートできないシステムの筆頭だし、androidも4.0までは(VPN用途以外には)できなかった。
上記のシステムはverisignのルート証明書等を決め打ちで持ってるけど、
決め打ちじゃない手法が一般的に可能であるわけじゃないので書いてみた。
この手法が一般的に可能になるにはインポートを行う側のリテラシが著しく向上しないと無理だろうけどね。