パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

日経XTECH曰く「SSL証明書の発行者がLet's Encryptならまず詐欺」」記事へのコメント

  • by Anonymous Coward on 2023年10月09日 18時53分 (#4542685)

    サイトとクライアント間の通信暗号化のための証明書に何を期待しているんだか
    暗号通信が保証するのは繋いだ先との通信であってクライアントの頭の中の相手じゃない

    • by Anonymous Coward

      証明書は相手を証明するものだぞ
      暗号化はまた別の話だね
      誰と繋がっているか、それが正しい相手かどうか証明しようって話だから

      その為に例えば公的機関に登録して証明してもらうということになったけど
      最初はそれでよかった、必要なのは一部なので高い金払って証明する仕組みが機能していた
      しかし時は個人も含めて全て証明しろって話になって
      それなら有志が無料で出来る仕組みを作ったら
      犯罪組織もそれを使うことになってしまったということ
      もちろん犯罪組織も公的機関に金払って証明してもらってるところもあるだろうから
      それだけで安全かどうかの判断は出来ないけど

      • by Anonymous Coward

        httpsで使われる証明書はドメイン保有者と通信先が同じであることしか保証しないんでは
        だからオンラインとは別の手段で「このURLはうちですよ」と広めることの方が重要だった

        • by Anonymous Coward

          HTTPS 専用の証明書があるわけじゃないし、証明書で検証されるのはホストの CN や SAN が一致するかであってドメイン保有者じゃない。
          ただし、認証局がドメイン保有を確認できないと証明書を発行しないから、証明書の持ち主がドメイン保有者であることも担保されている。

          Web 用に取得した証明書だって、CN か SAN が一致すればメールサーバに仕込んで SMTPS や IMAPS に使ったり
          LDAP サーバに仕込んで LDAPS に使うこともできる。ワイルドカード証明書なら1枚で複数のホストで使える。

      • by Anonymous Coward

        まさかスラドでhttps証明書の基礎すら理解してない長文コメントを見ることになるとは

        • by Anonymous Coward

          自称すごい人が多いスラドだからこそかなと思います。

      • by Anonymous Coward

        サイトの画像と家にくる人が一致していることを証明するようなものか。
        一致はしていても経過年数が…ってこともあるから、有効期限も大事。最近では13ヶ月なのですね。

    • by Anonymous Coward

      さらにほとんどのサイトは暗号化すらどうでもよくてGoogleに冷遇されないためとかHTTPS必須のAPIを使うために利用してるだけ

    • by Anonymous Coward

      暗号化とドメイン認証、ついでに組織認証までセットでやる現状のSSL証明書の区別がついてない人が多い

      ・暗号化に証明書は不要(安全な鍵交換技術を使えば、証明書なしで安全な暗号化通信は可能、ただしman in the middleは防げない)
      ・man in the middleを防ぐためにドメイン認証が必要
      ・フィッシング詐欺を抑止するためには、有償で発行する組織認証つき証明書が有効・・・にはなってない
       (現行のブラウザではドメイン認証のみの証明書と区別しないため)

    • by Anonymous Coward

      結局はドメインとTLSのセットで確認するしかないんだよな。
      アクセス先をちゃんと確認しろよと。

      • by Anonymous Coward

        現在までのところ、TLSと単独で書いているのはこの記事のみ。言葉を変えることの難しさよ。

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...