パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

NTT西日本、問い合わせサイトのSSLが「オレオレ証明書」」記事へのコメント

  • by Anonymous Coward
    この手のシステム構築のとき「証明書取って」と言うと、たいてい「暗号化はされてるから問題ないじゃん」と返されます。なぜ証明書を取った方が良いかを説明してもなかなか納得してもらえません。

    この手の隙をついた攻撃があまり無いから具体例として被害の例も挙げることが出来ないですし、イマイチ良い説得方法が見付かりません。

    ...みなさんどうやって説得してるんですかね?
    • 俺、その道の仕事はしていないが、「SSLの仕様で、初めの公開鍵を渡すところで偽の鍵に書き換えて渡されると偽の鍵を基に暗号化される」と説明すれば良いだけなんじゃ?
      詳しい図解入りの説明書作ったって良いだろうし、解説しているサイトに誘導するのでも良いのでは?
      口で言ってまくし立っても、それをイメージ出来ていない奴がぱっとイメージ出来る訳ないよ。
      言われた方が上司を説得するにしても、資料が無いと説明し難いだろうし。
      • 私の経験する限りでは、その程度では簡単には納得はしてくれません...。顧客(または一部のSE)は公開鍵とか暗号化とか説明したって理解しようとすらしませんよ。

        タダで取れるならともかく、結構な額がかかるものですから、結局予算の話の中でコストとリスクを評価されて、真っ先に削られる候補になるんです...。
        • 結構な額ってのはベリサインとかの高級(?)証明書に言えることで安いとこなら年間数千円で取れてしまいます。
          だから証明書の購入コストってのは全然大したこと無いと思います。
          ただ、証明書の値段そのものよりも、期限切れの証明書を保守し続けるコストの方が気になります。

          一つのプロジェクトで最初にかかるコストが数千や数万円かかるくらいはたいしたことがないと思います。
          でも証明書の更新ってのは1年後か長くても数年後には確実に来るものです。
          そしてその頃当時のメンバー(特に証明書のことをきちんと分かっている人)が居るかどうかは分かりませんし、更新時期
          • 証明書の値段そのものよりも、期限切れの証明書を保守し続けるコストの方が気になります。
            てことは、サーバソフトとかウェブアプリの脆弱性の保守も無しなの?

            ひどいサイトだね。怖くて近寄れん。

            • ソフトウェアの脆弱性と違って問題が十分認知されていない、というのがオレオレ証明書の問題だと思う。

              例えば IPA セキュリティセンターの脆弱性関連情報の届出 [ipa.go.jp]が活用されると状況も変わってくるんじゃないかな。

              # IPA から修正依頼が何度か来たので AC
              • by Anonymous Coward on 2005年10月23日 15時53分 (#819162)
                オレオレ証明書でぜんぜん問題ないです。verisignとかの方が有意に安全だとも思わないです。もとも、その程度しか信用してないし。
                親コメント
              • by nim (10479) on 2005年10月23日 23時32分 (#819304)
                私が知っているのは Verisign の日本サイトと、Betrusted のセンターだけですが、映画みたいな設備で運用をやっていますよ。
                それだけではなく、運用の厳密さは私の関わっていた金融関連(金融機関のシステムは金融庁のガイドラインでかなり細かく運用方法が縛られている)のシステムとも比べものになりません。

                私はとても同じとはいえませんね。
                親コメント

アレゲはアレゲを呼ぶ -- ある傍観者

処理中...