パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

NTT西日本、問い合わせサイトのSSLが「オレオレ証明書」」記事へのコメント

  • by Anonymous Coward
    >これでは入力する個人情報も盗聴されてしまいかねない。

    自認証局による証明書だって*暗号化には*問題ないんじゃ?

    # 「オレオレ証明書」って初めて聞いたのでAC
    • by namatias (4000) on 2005年10月23日 14時01分 (#819122) 日記
      プライベート認証局がきちんと運用されていれば問題はありません.高木氏の分類では,そのようなものもオレオレ証明書(第三種)としているので,その点については,多少問題があるように思えます.
      親コメント
      • 問題はどこに? (スコア:2, 参考になる)

        by parsley (5772) on 2005年10月23日 15時17分 (#819148) 日記
        オレオレ証明書でSSL通信をしているという話題が多いようですが、問題は、プライバシーポリシー [ntt-west.co.jp]で
        当サイトでは、お客さまの個人情報など保護が必要なデータを安全にやりとりするため、SSL(Secure Socket Layer)を利用した暗号化通信を使用しています。当サイトのウェブサーバとお客さまがお使いのブラウザ間の情報はSSL技術を使って保護されています。
        NTT西日本に、連絡をとりたい顧客が「SSLなんか使わなくっても平文でもいいよ」と思って連絡する場合には問題にならないでしょう。しかし「うちはSSL使っているから安心ですよ」と説明しているというのは、不誠実な対応だと考えます。

        # ま、SSLを使っているという一点だけを見ると嘘ではないですが
        --
        Copyright (c) 2001-2014 Parsley, All rights reserved.
        親コメント
        • by Anonymous Coward on 2005年10月23日 18時09分 (#819201)
          問題はない。引用されたプライバシーポリシーの直後に
          NTT西日本公式ホームページの利用は、お客さまの責任において行われるものとします。
          とある。

          民法の信義誠実の原則でなんとかしなくちゃ駄目か?
          親コメント
      • 違う (スコア:1, 参考になる)

        by Anonymous Coward on 2005年10月23日 15時55分 (#819163)
        ここ [takagi-hiromitsu.jp]でも読めば、プライベート認証局と高木氏の言う第三種オレオレ証明書の違いがわかる。
        親コメント
        • by namatias (4000) on 2005年10月23日 18時35分 (#819209) 日記

          ルート証明書を安全に配付,という言葉には,プライベート認証局をきちんと運営している,という意味も含まれるし,プライベート認証局,という用語を使った時点で当然のことながら,CPやCPSは設定されていると仮定されると思うのは世間を信用しすぎなのだろうか.

          もちろん,上の匿名投稿で言いたかった内容は理解できるけど,,,

          親コメント
        • by Anonymous Coward
          要は..

          1.証明書を、証明局が正式に発行した物で有ると確認出来る方式で渡せること
              (ネットワーク経由は偽装可能なので不可)
          2.責任範囲は自社内等組織内で閉じている方が好ましい
              最低限でも何かあったときに即座に対応出来る範囲でなければならない
          3.CAの秘密鍵は物理的にも論理的にも厳重な環境で保管されていること

          上記運用状態がサービス停止まで継続して実施され、サービス停止後には責任をもって無効に出来る事

          まぁ第三者にちゃんと提供するなら証明書買った方が安いとは思うね

アレゲは一日にしてならず -- アレゲ研究家

処理中...