パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

NTT西日本、問い合わせサイトのSSLが「オレオレ証明書」」記事へのコメント

  • 問題点の説明が不十分 (スコア:0, すばらしい洞察)

    by Anonymous Coward
    第三者でなく、安全を自称する証明書は マイクロソフトに始まり、トレンドマイクロやシマンテックなどでも使われているのに なぜNTTの件が問題なのか、その点を明確にするべきなのでは
    • デタラメ言うな (スコア:0, 参考になる)

      by Anonymous Coward
      安全を自称する証明書はマイクロソフトに始まり、トレンドマイクロやシマンテックなどでも使われているのに
      デタラメ言うなよ。
      • 「オレオレ証明書」なるものと「プライベート認証局」はちがうでしょ。
        まー、正規の認証局ツリーにぶら下げるのが最善とは思うが。
        --
        hoihoi-p  得意淡然、失意泰然。
        • by witch (3127) on 2005年10月24日 10時44分 (#819474) 日記
          「オレオレ証明書」なるものと「プライベート認証局」はちがうでしょ。

          「プライベート認証局」自身の証明書は「オレオレ証明書」になるので、違いは無いと思います。
          それとも「プライベート認証局」とはCA証明書をFDか何かで配布するものを指しているのでしょうか?
          親コメント
          • by hoihoi-p (5571) on 2005年10月24日 16時52分 (#819642) 日記
            言葉が足りませんでしたねー。 (うまく説明できるかどうか・・・)

            Apachi なりに付いてくるスクリプトで証明書を発行すると、
            ブラウザでは、「鍵の発行者が署名をしてる。」といって、
            承認するか、セッション毎に「署名者の正統性」の確認を求められます。(サーバ鍵)

            しかし、openSSL なりを使って、ユーザが鍵を発行し、其の鍵に、「プライベート認証局」の管理者が署名をすると、
            ブラウザでは、「署名をした認証局を信頼する」 と、最初に答えると、上記のような確認は最初の一回のみです。
            つまり、ユーザ鍵の製作者と、鍵の署名者が違うモノは、「プライベート認証局」と言って良いと思ってます。

            これは、サーバ側が正規の登録ユーザかどうかを見分ける目的のためには、上位認証局は必要ありません。
            サーバ証明書も署名認証局から見れば、一ユーザに過ぎず、
            サーバの正当性では無く、署名した認証局の信頼性を問われている訳ですから、
            「オレオレ証明書」 つまり、「自己署名サーバ鍵」とは違うんじゃないですか? と、言いたかった訳です。

            それで、「サーバ鍵」の署名者である、「NTT西日本の認証局」は、正規の認証局ツリーに組み込む。
            つまり、正規の上位認証局の署名があれば、問題は起きなかったね。 と、思った訳です。
            --
            hoihoi-p  得意淡然、失意泰然。
            親コメント

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

処理中...