アカウント名:
パスワード:
意外と気付いてない人が多い気がするんだけど、マジで危険なので。企業のPCでオンプレAD発行の「オレオレ証明書」とか使って「SSL通信の監査」やってる実装とか知ってれば明らかに危険なことくらい理解できるだろうにね。
クリティカルな情報を送信する際には端末側のブラウザで証明書の「発行元」を確認することは必須。ややこしい手順でもいいから確認したいと思っても、手段自体を封じてるiPhoneは困った話。以前はiPhoneでもChrome使えば確認できたはずなんだけど、いつの間にか見れなくされてるし。
iPhoneのデフォルトインストール済み証明書の一覧はコチラhttps://support.apple.com/ja-jp/HT204132 [apple.com]
自分でインストールしたものは、設定アプリの「一般」→「情報」→「証明書信頼設定」で確認でき、有効/無効を設定できる。デフォルトは無効になっている。https://support.apple.com/ja-jp/HT204477 [apple.com]
そうではなくて、元コメの言いたいことは、今まさに見ようとしているサイトの証明書が、どの認証局から発行されているかってことだろ。「こんなサイトに証明書を発行しているこの認証局は、気が狂っているか、クラッキングされているのかもしれない」などと考える役に立つ。本当は、OSデフォルトの認証局に対しても「こいつは信用しない」などと設定できるべきだが、iPhoneはできない。
本当は銀行の窓口へ行ってルート証明書をフロッピーディスク💾で受け取り、ネットバンキングサイトのサーバがそのルート証明書で署名された署名を送ってきて通信を暗号化していることを確認すべきってことですよね、わかります。
本人以外が知っていることのありえない4桁暗証番号で十分なのでは?
公開鍵基盤についてざっくり復習してもろて。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
「信頼済み証明書」に信頼できない証明書が混入していることのリスク (スコア:1)
意外と気付いてない人が多い気がするんだけど、マジで危険なので。
企業のPCでオンプレAD発行の「オレオレ証明書」とか使って「SSL通信の監査」やってる実装とか知ってれば
明らかに危険なことくらい理解できるだろうにね。
クリティカルな情報を送信する際には端末側のブラウザで証明書の「発行元」を確認することは必須。
ややこしい手順でもいいから確認したいと思っても、手段自体を封じてるiPhoneは困った話。
以前はiPhoneでもChrome使えば確認できたはずなんだけど、いつの間にか見れなくされてるし。
Re: (スコア:2)
iPhoneのデフォルトインストール済み証明書の一覧はコチラ
https://support.apple.com/ja-jp/HT204132 [apple.com]
自分でインストールしたものは、設定アプリの
「一般」→「情報」→「証明書信頼設定」
で確認でき、有効/無効を設定できる。デフォルトは無効になっている。
https://support.apple.com/ja-jp/HT204477 [apple.com]
Re: (スコア:1)
そうではなくて、元コメの言いたいことは、今まさに見ようとしているサイトの証明書が、どの認証局から発行されているかってことだろ。
「こんなサイトに証明書を発行しているこの認証局は、気が狂っているか、クラッキングされているのかもしれない」などと考える役に立つ。
本当は、OSデフォルトの認証局に対しても「こいつは信用しない」などと設定できるべきだが、iPhoneはできない。
Re: (スコア:2)
本当は銀行の窓口へ行ってルート証明書をフロッピーディスク💾で受け取り、ネットバンキングサイトのサーバがそのルート証明書で署名された署名を送ってきて通信を暗号化していることを確認すべきってことですよね、わかります。
Re: (スコア:0)
本人以外が知っていることのありえない4桁暗証番号で十分なのでは?
Re:「信頼済み証明書」に信頼できない証明書が混入していることのリスク (スコア:2)
公開鍵基盤についてざっくり復習してもろて。