アカウント名:
パスワード:
普通にVerisignとかで証明書取った方が面倒なくて良いと思うのですが 自身をルート証明局にしなきゃいけない理由ってあるのかなぁ?
国が一民間企業に証明をもらうってのが嫌なんじゃないかな? まぁ、その気持ちもわからないでもないし、日本国よりも民間企業の方が信頼できるというのもアレゲな気はしますね。 本来であれば、ICANNなりの国際的に権威を持つ機関がルート証明局を運用すべきなのかもしれません。(もちろん実務は民間企業に委託しても良いのですが、証明はその機関が行う)
元記事の「証明書のダウンロードがSSLでない」という話は、ピント外れ
たとえSSLなサイトにその「証明書」があったとしても、そのサイト自体が総務省が「証明書」を置いたサイトであるという事は証明できない SSLが証明できるのは、そのコネクションが該当URLのサイトから送られてきたものである事を証明できるだけで、他所のhttpsなサイトにその「証明書」(の偽物)を置かれてもそれが「偽物」か「本物」かはSSLでは証明不可能。
ちょっと先生、それは、技術的に間違いですよ。 SSLのサーバー証明書というものはですね、その証明書の所有者が誰であるのか、ということをですね、法人であればその登記簿謄本等に記載されて
SSLのサーバー証明書というものはですね、その証明書の所有者が誰であるのか、ということをですね、法人であればその登記簿謄本等に記載されている組織名と照合してですね、その組織名を表示しているところに意味があるんです。
そうですよ。SSLのサーバ証明書は、そのサーバがそのサーバを設置した組織によって運用されており、そのコンテンツがそのサーバから来た事を証明できます。 しかし、そのサーバにはそのサーバの持ち主が望めばそのサーバを設置した組織と関係無いコンテンツを置く事ができ、そのコンテンツが誰の物であるかは証明できません。あくまでもそのサーバを設置した組
そのサーバにはそのサーバの持ち主が望めばそのサーバを設置した組織と関係無いコンテンツを置く事ができ、そのコンテンツが誰の物であるかは証明できません。
で、soumu.go.jp のサーバー設置者(サーバー証明書には「日本国総務省」と書かれている)が、「組織と関係無いコンテンツを置く」んですか?
そのサーバにあるコンテンツであるルート証明書が確かに日本国総務省のものであるかどうかという証明は、SSLのサーバ証明書ではできません。
?? サーバー証明書に所有者が「日本国総務省」であると書かれた https://….soumu.go.jp にあるコンテンツであ
という事です。
何も私は「今の総務省のやり方で全く問題無い」って言ってる訳ではありません。 SSLを使えば「正しい」証明書を「正しいもの」と確認する事はできますが、誤誘導された先で掴まされた偽物の証明書が偽物であるという事を認識させるためには何の役
本物のルート証明書をSSLなサーバに置いたとしても、そこへ至る経路がhttpであれば、別のサイトへ誘導される可能性がある。
だから何回も何回も同じこと言ってんじゃん。どうしても理解したくないのか?
ダウンロードする画面で、 あんたは、今見ている画面のURLを確認しないのか? 確認するだろ。 https://….soumu.go.jp/ のサイトであることを確認するだろ? 証明書の所有者も確認するだろ?
確認しないのならそれは自己責任です。
「正しい」証明書が「
そっくりそのままお返しします。 どうも言葉をいくら重ねても言ってる事がわからないようなので、 具体的な例をあげてみます。 現在の総務省のページはIEの場合だと
どうも言葉をいくら重ねても言ってる事がわからないようなので、
それでは4.も改竄されないように4.もSSLにしましょう。
でも3.のuseconsent_ie.htmlは相変わらずhttpですから改竄されて...という繰り返しになって、
そう、そこで、ユーザは、4.のページが https://….soumu.go.jp/… になってて、そこのサーバー証明書が総務省のものになってることを確認するのが当然なの、と、何回も何回もネー、言ってるでしょ?
でも3.のuseconsent_ie.htmlは相変わらずhttpですから改竄されて...という繰り返しになって、 もしかして、あんた、今見てるページのURLを見ない人か?そりゃあ論外だよ。やられ放題だな、電子政府に限らず。
そう、そこで、ユーザは、4.のページが https://….soumu.go.jp/… になってて、そこのサーバー証明書が総務省のものになってることを確認するのが当然なの、と、何回も 何回もネー、言ってるでしょ? だから、正しいページが正しくダウンロードされたなら、そうやってそれが正しいという事を知ることはできるよ。それは全然否定してないでしょ? 問題はそうじゃなくて、その正しいページへ至る過程にhttpなページがあれば、
そう、そこで、ユーザは、4.のページが https://….soumu.go.jp/… になってて、そこのサーバー証明書が総務省のものになってることを確認するのが当然なの、と、何回も 何回もネー、言ってるでしょ?
4.のページがダウンロードされた後に、URLと証明書を確認すれば4.のページは正しくダウンロードされたってこと。それを確認してから、そこからリンクされているルート証明書を安全にダウンロードするわけ。 最後のルート証明書のダウンロードを実行する直前で、今見ているページがどこなのか、SSLになっているのか、証明書は誰のものなのかを確認するのが、ユーザの当然のとるべき行動なのだ、って言ってるわけ。(あんたはURL見ないんだろうけどな。)
DNSスプーフィングされるという事は、ちゃんとhttp://...soumu.go.jp/というURLに見えるページが改ざんされちゃうという意味ですよ。わかってる?
あらかじめhttps://...soumu.go.jp/というURLにルート証明書が存在する事がわかっていればルート証明書をダウンロードする所でhttpsじゃないからおかしいとわかるかもしれないけど、
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
理由はあるの? (スコア:2, 参考になる)
普通にVerisignとかで証明書取った方が面倒なくて良いと思うのですが
自身をルート証明局にしなきゃいけない理由ってあるのかなぁ?
ECサイトの開発時やテスト時
Re:理由はあるの? (スコア:2, 参考になる)
国が一民間企業に証明をもらうってのが嫌なんじゃないかな?
まぁ、その気持ちもわからないでもないし、日本国よりも民間企業の方が信頼できるというのもアレゲな気はしますね。
本来であれば、ICANNなりの国際的に権威を持つ機関がルート証明局を運用すべきなのかもしれません。(もちろん実務は民間企業に委託しても良いのですが、証明はその機関が行う)
元記事の「証明書のダウンロードがSSLでない」という話は、ピント外れ
またここにもSSLを理解していない輩が…(@鈴木証人 (スコア:2)
ちょっと先生、それは、技術的に間違いですよ。 SSLのサーバー証明書というものはですね、その証明書の所有者が誰であるのか、ということをですね、法人であればその登記簿謄本等に記載されて
Re:またここにもSSLを理解していない輩が… (スコア:1)
そうですよ。SSLのサーバ証明書は、そのサーバがそのサーバを設置した組織によって運用されており、そのコンテンツがそのサーバから来た事を証明できます。
しかし、そのサーバにはそのサーバの持ち主が望めばそのサーバを設置した組織と関係無いコンテンツを置く事ができ、そのコンテンツが誰の物であるかは証明できません。あくまでもそのサーバを設置した組
Re:またここにもSSLを理解していない輩が… (スコア:2)
で、soumu.go.jp のサーバー設置者(サーバー証明書には「日本国総務省」と書かれている)が、「組織と関係無いコンテンツを置く」んですか?
?? サーバー証明書に所有者が「日本国総務省」であると書かれた https://….soumu.go.jp にあるコンテンツであ
Re:またここにもSSLを理解していない輩が… (スコア:1)
という事です。
何も私は「今の総務省のやり方で全く問題無い」って言ってる訳ではありません。
SSLを使えば「正しい」証明書を「正しいもの」と確認する事はできますが、誤誘導された先で掴まされた偽物の証明書が偽物であるという事を認識させるためには何の役
Re:またここにもSSLを理解していない輩が… (スコア:2)
だから何回も何回も同じこと言ってんじゃん。どうしても理解したくないのか?
ダウンロードする画面で、 あんたは、今見ている画面のURLを確認しないのか?
確認するだろ。
https://….soumu.go.jp/ のサイトであることを確認するだろ?
証明書の所有者も確認するだろ?
確認しないのならそれは自己責任です。
Re:またここにもSSLを理解していない輩が… (スコア:1)
そっくりそのままお返しします。
どうも言葉をいくら重ねても言ってる事がわからないようなので、 具体的な例をあげてみます。
現在の総務省のページはIEの場合だと
Re:またここにもSSLを理解していない輩が… (スコア:2)
Re:またここにもSSLを理解していない輩が… (スコア:1)
問題はそうじゃなくて、その正しいページへ至る過程にhttpなページがあれば、その正しいページじゃなくて改ざんされたページに誘導されちゃう可能性があるという事を言ってるんだが... DNSスプーフィングされるという事は、ちゃんとhttp://...soumu.go.jp/というURLに見えるページが改ざんされちゃうという意味ですよ。わかってる?
あらかじめhttps://...soumu.go.jp/というURLにルート証明書が存在する事がわかっていればルート証明書をダウンロードする所でhttpsじゃないからおかしいとわかるかもしれないけど、そんな前提知識は無いでしょ。実際httpにある訳だし、元々ルート証明書はフィンガープリントで真正性を確認るものであって、SSLで確認するなんていう常識は存在しないんだから。
だったら、いくら本物をSSLで保護しても、そこまでにhttpなページがある限り、DNSスプーフィングで他の改ざんされたルート証明書に誘導されてしまう可能性は残るでしょ。
これだけ書いても理解できないんだったらあなたに説明するのは放棄する。
Re:またここにもSSLを理解していない輩が… (スコア:2)
4.のページがダウンロードされた後に、URLと証明書を確認すれば4.のページは正しくダウンロードされたってこと。それを確認してから、そこからリンクされているルート証明書を安全にダウンロードするわけ。 最後のルート証明書のダウンロードを実行する直前で、今見ているページがどこなのか、SSLになっているのか、証明書は誰のものなのかを確認するのが、ユーザの当然のとるべき行動なのだ、って言ってるわけ。(あんたはURL見ないんだろうけどな。)
だれが「http://」のページを確認しろなんて言った? 「https://...soumu.go.jp/」のページを確認しろと言ってんだよ。わざと「s」を削ったのか?いいかげんにしろ。 だーかーらー、どうなっているかを知っていようがいまいが、とにかく、 ダウンロード直前の画面で、https://….soumu.go.jp のページで証明書を確認して、それからダウンロードするってのがユーザの責任だ(もしそこで、画面が http:// ならそのサイトは安全でないので使わないようにする)って、最初から言ってるだろ。