パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

総務省「電子申請・届出システム」は信頼できるか」記事へのコメント

  • >証明書は自身をルート証明局としているが

     普通にVerisignとかで証明書取った方が面倒なくて良いと思うのですが
     自身をルート証明局にしなきゃいけない理由ってあるのかなぁ?

     ECサイトの開発時やテスト時
    • 普通にVerisignとかで証明書取った方が面倒なくて良いと思うのですが 自身をルート証明局にしなきゃいけない理由ってあるのかなぁ?

      国が一民間企業に証明をもらうってのが嫌なんじゃないかな?
      まぁ、その気持ちもわからないでもないし、日本国よりも民間企業の方が信頼できるというのもアレゲな気はしますね。
      本来であれば、ICANNなりの国際的に権威を持つ機関がルート証明局を運用すべきなのかもしれません。(もちろん実務は民間企業に委託しても良いのですが、証明はその機関が行う)

      元記事の「証明書のダウンロードがSSLでない」という話は、ピント外れ

      • たとえSSLなサイトにその「証明書」があったとしても、そのサイト自体が総務省が「証明書」を置いたサイトであるという事は証明できない
        SSLが証明できるのは、そのコネクションが該当URLのサイトから送られてきたものである事を証明できるだけで、他所のhttpsなサイトにその「証明書」(の偽物)を置かれてもそれが「偽物」か「本物」かはSSLでは証明不可能。

        ちょっと先生、それは、技術的に間違いですよ。 SSLのサーバー証明書というものはですね、その証明書の所有者が誰であるのか、ということをですね、法人であればその登記簿謄本等に記載されて

        • SSLのサーバー証明書というものはですね、その証明書の所有者が誰であるのか、ということをですね、法人であればその登記簿謄本等に記載されている組織名と照合してですね、その組織名を表示しているところに意味があるんです。

          そうですよ。SSLのサーバ証明書は、そのサーバがそのサーバを設置した組織によって運用されており、そのコンテンツがそのサーバから来た事を証明できます。
          しかし、そのサーバにはそのサーバの持ち主が望めばそのサーバを設置した組織と関係無いコンテンツを置く事ができ、そのコンテンツが誰の物であるかは証明できません。あくまでもそのサーバを設置した組

          • そのサーバにはそのサーバの持ち主が望めばそのサーバを設置した組織と関係無いコンテンツを置く事ができ、そのコンテンツが誰の物であるかは証明できません。

            で、soumu.go.jp のサーバー設置者(サーバー証明書には「日本国総務省」と書かれている)が、「組織と関係無いコンテンツを置く」んですか?

            そのサーバにあるコンテンツであるルート証明書が確かに日本国総務省のものであるかどうかという証明は、SSLのサーバ証明書ではできません。

            ?? サーバー証明書に所有者が「日本国総務省」であると書かれた https://….soumu.go.jp にあるコンテンツであ

            • 何だか話が行き違ってるようなので、逐語的なコメントではなく、まとめなおしてみますが、私が (#76537) [srad.jp]で書いてるのは、
              • 本物のルート証明書をSSLなサーバに置いたとしても、そこへ至る経路がhttpであれば、別のサイトへ誘導される可能性がある。
              • フィンガープリントをhttpな同一サイトに置くのは問題。

              という事です。

              何も私は「今の総務省のやり方で全く問題無い」って言ってる訳ではありません。
              SSLを使えば「正しい」証明書を「正しいもの」と確認する事はできますが、誤誘導された先で掴まされた偽物の証明書が偽物であるという事を認識させるためには何の役

              • 本物のルート証明書をSSLなサーバに置いたとしても、そこへ至る経路がhttpであれば、別のサイトへ誘導される可能性がある。

                だから何回も何回も同じこと言ってんじゃん。どうしても理解したくないのか?

                ダウンロードする画面で、 あんたは、今見ている画面のURLを確認しないのか?
                確認するだろ。
                https://….soumu.go.jp/ のサイトであることを確認するだろ?
                証明書の所有者も確認するだろ?

                確認しないのならそれは自己責任です。

                「正しい」証明書が「

              • だから何回も何回も同じこと言ってんじゃん。どうしても理解したくないのか?

                そっくりそのままお返しします。
                どうも言葉をいくら重ねても言ってる事がわからないようなので、 具体的な例をあげてみます。
                現在の総務省のページはIEの場合だと

                1. 総務省:電子申請・届出システム(http://www.shinsei.soumu.go.jp/)
                2. 電子申請・届出システムを初めてご利用される方へ(http://www.shinsei.soumu.go.jp/first.html)
                3. 使用許諾(http://www.shinsei.soumu.go.jp/useconsent_ie.html)
                4. 安全な通信を行うための証明書の入手と設定(http://www.shinsei.soumu.go.j
              • > いつの間に「SSLにしたら手間が省ける」という話になったんですか?
                この部分にだけ反応して申し訳ありませんが、
                そういうことではなくて、seldonさんが書かれた
                > > > その上SSLまでしなきゃいけないという必然性は無いのだから、
                > > > 「SSLじゃないから脆弱だ」と言う程の事も無いのでは?
                にたいして、jbeefさんが前提条件として「その上SSLまで
              • jbeefさんが前提条件として「その上SSLまで」
                ということは関係ないだろうということで
                > > 「その上SSLまで…」とかではなく、 SSLで上記の通り正しくダウンロードしたなら
                > > フィンガープリントの照合は不要になるのです。
                と書かれたのだと思いますが、違いますか?
                あ、なるほど。そういう事か。
                私が「その上...」と書いたのは、フィンガープリントという証明書の正当性を確認する手段があるのに、その上に「SSLにもしないといけない」「そうしていないのは脆弱である」という主張には必然性は無いという意味です。
                手順としてフィンガープリントを確認してその上SSLのサーバ証明書も確認するという意味ではありません
                (が、私的にはいくら正当そうなURLで正当そうなサーバ証明書があったとしても、ルート証明書というセキュリティ上重要なものはフィンガープリントも検証すべきだとは思います。あくまでも、この件はここでは触れていないという意味です)

                ご指摘感謝>AC氏

                親コメント
              • 間違いは誰にでもあるものです。
                変にプライドを守って水掛け論(=フレーム)にするのは止めましょう。

                見苦しいやりとりになっています > seldon どの

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

処理中...