パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

トルコの認証局、手違いで中間CA証明書を発行。早速攻撃に使われる 」記事へのコメント

  • iOSやレガシーなガラケー(フィーチャーフォン)など、ファームウェア組み込みの証明書の有効無効が
    個別対応できないものは全部危険ですね。今思いついたのはその二つですが、まだまだあると思います。

    • by Anonymous Coward

      日本のフィーチャーフォンにトルコの認証局の証明書が入っているとはとても思えない。

      • by Anonymous Coward

        証明書の仕組みわかってる?

        • by Anonymous Coward

          元のACとは別人だが分からないので教えてくれ。

          証明書ってのは、公開鍵の正当性を証明するものだよね。
          山田さんが公開している証明書で暗号の解読ができればその証明書で解読できる暗号を作れる秘密鍵を持った人しかいないので、この暗号データは山田さんしかありえない、と言うのが証明書の基本。

          ただしこの状態だと、その公開鍵証明書は、そもそも本当に山田さんと結びつけられたものなのかと言う事が分からない。
          その時「山田さんが公開している公開鍵証明書である」と言う事を証明する手段が、その上位の証明書ということだよね?

          その上位の証明書というのが

          • by Anonymous Coward

            元ACが「TURKTRUSTの証明書が日本のフィーチャーフォンに入ってるとは思えない」と語っているけど、この推測が確かで、証明書の更新ができないような古いフィーチャーフォンにはTURKTRUSTのルート証明書が入っていないのだとすると、元が絶たれるわけでフィーチャーフォンは素性の分からない証明書だよと最低でも警告を出してくる(オレオレ証明書と同じ事になる)んじゃ無いかなあ。

            ここ笑うとこ?

            • by Anonymous Coward

              あなたの方がわかってないと思いますよ。
              ルートCAとしてTURKTRUSTが登録されてないならTURKTRUSTが認証した今回の中間CAも認証されない。その中間CAが認証した偽Googleも認証されない。信頼のチェーンが切れてるから自前CAのオレオレ証明書と同レベル。

              • by Anonymous Coward

                もう一度引用部分を読み解いてみるといいよ
                分がよじれているのはわかっているからあえて出したまでだけど

              • by Anonymous Coward

                どう読んでも笑うところがありませんけど。
                あなたは、自分の解釈が間違っていると言う考えは無いのですか。
                あるいは間違っていることに気付いているが、それを認めたくないために具体的な指摘をせずに強弁を続けているのですか?

              • by Anonymous Coward on 2013年01月10日 12時54分 (#2303420)

                後者でしょうね。
                このツリーには理解できてないのがいっぱい釣れてるみたいですし。

                親コメント

人生unstable -- あるハッカー

処理中...