パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

NTT西日本、問い合わせサイトのSSLが「オレオレ証明書」」記事へのコメント

  • 問題点の説明が不十分 (スコア:0, すばらしい洞察)

    by Anonymous Coward
    第三者でなく、安全を自称する証明書は マイクロソフトに始まり、トレンドマイクロやシマンテックなどでも使われているのに なぜNTTの件が問題なのか、その点を明確にするべきなのでは
    • デタラメ言うな (スコア:0, 参考になる)

      by Anonymous Coward on 2005年10月23日 11時27分 (#819063)
      安全を自称する証明書はマイクロソフトに始まり、トレンドマイクロやシマンテックなどでも使われているのに
      デタラメ言うなよ。
      親コメント
      • 俺の使っているIEの信頼されたルート証明機関にマイクロソフトルート何とかってのがあるけど....

        アプリを提供するときに、アップデートとかする場合を考えてルート証明機関としてアプリに公開鍵入れといて、SSLでパッチのハッシュ値のやり取りをしているみたいな話なんじゃ?
        どこかの証明機関から認証貰っていたとしても、他の証明機関に乗り換えることもあるだろうし、証明機関が倒産することもある。
        やっているかどうかは知らんが、不自然じゃない気がするけど。
        それとも、マイクロソフトが初めではないって話か?
        親コメント
        • by Anonymous Coward on 2005年10月23日 14時47分 (#819138)
          マイクロソフトルート何とかね。うちのにはIEには入ってないね。正確に書こうね。
          あと、証明書というのは、あればそれだけでいろいろ証明してくれるわけではなくて、証明してくれる内容がちゃんと書いてあるよ。IEだと証明書の詳細ページのキー使用法あたりを読んでみて。

          リモートコンピュータのID証明の話からどうしてここまで脱線するんだ?
          親コメント
          • 発行者が
            >CN = Microsoft Root Authority
            >OU = Microsoft Corporation
            >OU = Copyright (c) 1997 Microsoft Corp.

            >CN = Microsoft Root Certificate Authority
            >DC = microsoft
            >DC = com
            ってのがIEにあるけど、これ俺だけ?
            親コメント
          • by Anonymous Coward
            https://eopen.microsoft.com/JP/

            発行先: eopen.microsoft.com
            発行者: Microsoft Secure Server Authority
            • by Anonymous Coward
              それは中間認証局。

              それのルートは
              GTE CyberTrust Global Root
              になってるよ。
              • by Anonymous Coward
                IEで確認すると、確かに中間認証局ですね。
                しかし、その認証局のCPSやCPのページって見られます?

                政府(go.jp)や自治体(lg.jp)がこんなことやったら、袋だたきにされるな(笑)
              • by Anonymous Coward
                たいていのchaind root証明書は中間認証局の証明書も一緒に送ってきますが、それらの中間認証局まで全部確認してるんですか?
                件のサーバは一緒に送信すべき
                https://www.microsoft.com/pki/mscorp/mswww(2).crt
                https://www.microsoft.com/pki/mscorp/msssa1(2).crt
                を証明書に含め忘れてるだけで、褒められたものではないけど、信頼できるルートで中間認証局の証明書を入手できないわけでもない。
              • by jbeef (1278) on 2005年10月24日 1時49分 (#819376) 日記
                IEには、中間認証局の証明書をAuthority Information Access拡張フィールドの値を頼りにそこから自動でダウンロードして検証する機能があるのに対して、Mozillaにはそれがないようです。そのため、Microsoftのサイトでは、証明書チェインに中間認証局の証明書を同梱していないサイトが多数見られます。

                どういうことなのかは、以下のLarry Osterman氏のblogにまとまっています。

                この仕様が、Microsoftの勝手な独自機能なのか、それとも他のブラウザも搭載すべき標準仕様と解釈するべきなのかについて、Bugzilla Bug 245609 で議論されています。
                親コメント
              • 公的個人認証の電子証明書とか発行してもらっているけど、試し利用仕様とした公官庁で自前のルートCA局(一応ブリッジ認証局はある)立ててて、firefoxほかブラウザにルートCA局登録させるのやめてほしい。

                例)厚生労働省(2005年前半時点)

                MHLW ROOT CA:
                  OU = MHLW Root CA
                  OU = Ministry of Health, Labour, And Walfare
                  O = Japanese Goverment
                  C = JP

                Fingerprint: 3F 57 59 11 92 28 84 ED 06 50 B3 A1 17 12 8A 5F B1 89 54 F0 (ミスタイプがあるかもしれない)

                まともにやっている省庁ってあるんですか?
                --
                masamic
                親コメント
              • by Anonymous Coward
                このページも嘘か本当かわからない [mhlw.go.jp]が、ものの試しで、
                信頼できるルートから官報にでもあたられては如何がかしらん。
              • by Anonymous Coward
                それの存在ってどこで告知されてます?
                誰も知らないんじゃ意味がないわけで。
      • by hoihoi-p (5571) on 2005年10月24日 10時13分 (#819464) 日記
        「オレオレ証明書」なるものと「プライベート認証局」はちがうでしょ。
        まー、正規の認証局ツリーにぶら下げるのが最善とは思うが。
        --
        hoihoi-p  得意淡然、失意泰然。
        親コメント
        • by witch (3127) on 2005年10月24日 10時44分 (#819474) 日記
          「オレオレ証明書」なるものと「プライベート認証局」はちがうでしょ。

          「プライベート認証局」自身の証明書は「オレオレ証明書」になるので、違いは無いと思います。
          それとも「プライベート認証局」とはCA証明書をFDか何かで配布するものを指しているのでしょうか?
          親コメント
          • by hoihoi-p (5571) on 2005年10月24日 16時52分 (#819642) 日記
            言葉が足りませんでしたねー。 (うまく説明できるかどうか・・・)

            Apachi なりに付いてくるスクリプトで証明書を発行すると、
            ブラウザでは、「鍵の発行者が署名をしてる。」といって、
            承認するか、セッション毎に「署名者の正統性」の確認を求められます。(サーバ鍵)

            しかし、openSSL なりを使って、ユーザが鍵を発行し、其の鍵に、「プライベート認証局」の管理者が署名をすると、
            ブラウザでは、「署名をした認証局を信頼する」 と、最初に答えると、上記のような確認は最初の一回のみです。
            つまり、ユーザ鍵の製作者と、鍵の署名者が違うモノは、「プライベート認証局」と言って良いと思ってます。

            これは、サーバ側が正規の登録ユーザかどうかを見分ける目的のためには、上位認証局は必要ありません。
            サーバ証明書も署名認証局から見れば、一ユーザに過ぎず、
            サーバの正当性では無く、署名した認証局の信頼性を問われている訳ですから、
            「オレオレ証明書」 つまり、「自己署名サーバ鍵」とは違うんじゃないですか? と、言いたかった訳です。

            それで、「サーバ鍵」の署名者である、「NTT西日本の認証局」は、正規の認証局ツリーに組み込む。
            つまり、正規の上位認証局の署名があれば、問題は起きなかったね。 と、思った訳です。
            --
            hoihoi-p  得意淡然、失意泰然。
            親コメント

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...