アカウント名:
パスワード:
「暗号化」と「本人である事が安心なのか」はすべて別なのであります!フィッシングサイトだってちゃんとSSLを使っているんだしねwオレオレ証明書が難無く通る仕組みを作ったうえでSSLの強制化を話してくださいwオレオレでも暗号化については”同等に安全”なのは知ってるはずだろう?でなければやはり商売の香りがぷんぷんする。
オレオレを締め出した上に本来のSSLの趣旨であろう企業証明書?が別は枠で出来上がったのはなんでだろうね。
個人情報を送受信するサイトじゃなければオレオレでもいいと個人的には思います。
個人情報を流すならちゃんとしたサーバ証明書は欲しいですが、単にデータの送受信であれば暗号化目的のオレオレで十分じゃないのかな、と思います。
通信の秘密を物理的に守る意味でも、ね。
#ちゃんとした証明書だとサーバ側で金と手間が掛かる、と言うのもありますしね。
1、「ルート証明書にぶら下がった信用できるサイト」2、「ルート証明書にぶら下がった信用できないサイト」3、「ルート証明書にぶら下がれてしまった中間者ダミーサイト」4、「ルート証明書にぶら下がっていない(オレオレ証明書な)信用できるサイト」5、「ルート証明書にぶら下がっていない(オレオレ証明書な)信用できないサイト」6、「ルート証明書にぶら下がっていない(オレオレ証明書な)中間者ダミーサイト」2や3なサイトは非オレオレ証明書であっても個人情報を送っては駄目ですし、4であればオレオレ証明書であっても個人情報を送るのに問題は無いですよ。そもそも、暗号化や通信の秘密を担保したいって時点で2や3や5や6を歓迎できる訳が無いので、「個人情報を送受信するサイトじゃなければ」なんて前提自体がオカシイ気がします。
実際問題、5や6に該当する可能性が低い(または該当しても問題が少ない)ケースでそれらに対する警戒を解くのはままあることですが、それはルート証明書にぶら下がった証明書における2や3でも(リスクの閾値は変わるものの)同じことなので、オレオレであるかどうかは直接関係してません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
そもそも・・・ (スコア:0)
「暗号化」と「本人である事が安心なのか」はすべて別なのであります!
フィッシングサイトだってちゃんとSSLを使っているんだしねw
オレオレ証明書が難無く通る仕組みを作ったうえでSSLの強制化を話してくださいw
オレオレでも暗号化については”同等に安全”なのは知ってるはずだろう?
でなければやはり商売の香りがぷんぷんする。
オレオレを締め出した上に本来のSSLの趣旨であろう企業証明書?が別は枠で出来上がったのはなんでだろうね。
Re: (スコア:1)
個人情報を送受信するサイトじゃなければオレオレでもいいと個人的には思います。
個人情報を流すならちゃんとしたサーバ証明書は欲しいですが、単にデータの送受信であれば
暗号化目的のオレオレで十分じゃないのかな、と思います。
通信の秘密を物理的に守る意味でも、ね。
#ちゃんとした証明書だとサーバ側で金と手間が掛かる、と言うのもありますしね。
Re:そもそも・・・ (スコア:0)
1、「ルート証明書にぶら下がった信用できるサイト」
2、「ルート証明書にぶら下がった信用できないサイト」
3、「ルート証明書にぶら下がれてしまった中間者ダミーサイト」
4、「ルート証明書にぶら下がっていない(オレオレ証明書な)信用できるサイト」
5、「ルート証明書にぶら下がっていない(オレオレ証明書な)信用できないサイト」
6、「ルート証明書にぶら下がっていない(オレオレ証明書な)中間者ダミーサイト」
2や3なサイトは非オレオレ証明書であっても個人情報を送っては駄目ですし、4であればオレオレ証明書であっても個人情報を送るのに問題は無いですよ。
そもそも、暗号化や通信の秘密を担保したいって時点で2や3や5や6を歓迎できる訳が無いので、「個人情報を送受信するサイトじゃなければ」なんて前提自体がオカシイ気がします。
実際問題、5や6に該当する可能性が低い(または該当しても問題が少ない)ケースでそれらに対する警戒を解くのはままあることですが、それはルート証明書にぶら下がった証明書における2や3でも(リスクの閾値は変わるものの)同じことなので、オレオレであるかどうかは直接関係してません。