パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

NTT西日本、問い合わせサイトのSSLが「オレオレ証明書」」記事へのコメント

  • オレオレ証明書がまずいのは、ルート証明書として
    信頼できない点なわけで、そういう意味では
    WindowsUpdateなどで運ばれてくるMicrosoft
    が認証した証明書群に無条件でトラストアンカーを
    設置してしまうというのも「なんだかな~」と
    思ってしまいます。

    とはいいつつも、エンドユーザが例えばベリサインの
    CPShttp://www.verisign.co.jp/repository/CPS/ [verisign.co.jp]
    なんて読まないのだから、それよりはずっとましなんでしょうが。
    いい落としどころなんですかね?

    皆さんはどうお考えですか。
    • 他者と言っても、この場合、内容を入れ換える可能性があるのは
      Microsoft なわけです。
      もし Microsoft を信頼できないと仮定するなら、問題のある
      証明書のインストールなんてまどろっこしい手を使わなくても、
      Microsoft には、いくらでもあなたに対して不正を働く手段が
      あります。(Microsoft が不正を働いているという意味では全く
      ありません。技術的にそれが可能だという意味です。)

      もし Microsoft を信頼できないと仮定するなら、そもそも
      Microsoft 製の OS やアプリケーションを利用してはいけません。
      (たとえ Apple の OS を利用していても、Microsoft Office を
      その上で利用していれば、同程度のリスクがあります。)

      Microsoft の OS やアプリケーションを利用しているのであれば、
      証明書の信頼性について Microsoft の判断を信頼するのは、許容
      できる範囲のリスクなのでは?
      親コメント
      • PKIの世界ではトラストアンカーという考え方が
        あり、かつトラストアンカーからたどることのできる
        信頼は一切割り引かれません。

        ここで(PKIの仕組みで)問題なのは、Microsoft
        が不正を働くことよりも、Microsoft が信頼できると
        判断した認証局の不正であり、 Micfosoft の悪意とは
        無関係です。

        むしろ、Windowsにルート証明書を入れてもらう
        ために商用CAとMicrosoftの間で金銭的要因や
        ある種の政治的要因などが絡んでくるのは想像に難くありません。
        ところが、一般のユーザはCPSなんて読めないため結局は
        Microsoft や SUN(Java)などの判断に頼らざるを得ない
        というのが今のPKIの煮え切らないところなのではないでしょうか。

        親コメント

開いた括弧は必ず閉じる -- あるプログラマー

処理中...