パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

NTT西日本、問い合わせサイトのSSLが「オレオレ証明書」」記事へのコメント

  • オレオレ証明書がまずいのは、ルート証明書として
    信頼できない点なわけで、そういう意味では
    WindowsUpdateなどで運ばれてくるMicrosoft
    が認証した証明書群に無条件でトラストアンカーを
    設置してしまうというのも「なんだかな~」と
    思ってしまいます。

    とはいいつつも、エンドユーザが例えばベリサインの
    CPShttp://www.verisign.co.jp/repository/CPS/ [verisign.co.jp]
    なんて読まないのだから、それよりはずっとましなんでしょうが。
    いい落としどころなんですかね?

    皆さんはどうお考えですか。
    • 正直な話、OSやWebブラウザに付いてきたルート証明書の
      真正性だなんて自分では検証したことが無いよ。
      というか、(例えば)MSの証明書ってどこで検証できるのかな?

      工場から出荷されるCD-ROMが本物であるとか、倉庫番が
      悪さしないとか、留守に配達を受け取ってくれた家族だ
      とか、結局、信用の強度としてはどの辺りだか物理世界の
      ずっと弱いところに依存してるんじゃないか知らん。
      • まさか、フィンガープリントの使い方を知らないので教えてくださいという質問ではありませんよね?
        • 本当に信頼できるフィンガープリントは、どこからどのように入手すればよろしいでしょうか?
          • OSにバンドルされてるルート証明書で証明される証明書のフィンガープリントが一番信用できます。
            それができない証明書のフィンガープリントは殆ど信用できません。

            まさか「本当に信頼できる」って「100%信頼できる」って意味じゃないよね?
            もしそうだったら「セキュリティの世界に100%安全なんて言葉はねぇよ」というお決まりの文句を捧げますが。
            • #819078
              正直な話、OSやWebブラウザに付いてきたルート証明書の
              真正性だなんて自分では検証したことが無いよ。
              というか、(例えば)MSの証明書ってどこで検証できるのかな?

              #819212
              まさか、フィンガープリントの使い方を知らないので教えてくださいという質問ではありませんよね?

              #819279
              本当に信頼できるフィンガープリントは、どこからどのように入手すればよろしいでしょうか?

              こういう流れでOSにバンドルされてるルート証明書を持ち出されでも困ります!
              • えっと、じゃあ何を持ち出せと?例を挙げてくださいな。
              • > えっと、じゃあ何を持ち出せと?例を挙げてくださいな。

                例なんてそんなのしらんがな、たずねてるのはこっちなんだから。
                #819212を読んでフィンガープリントを使えばOSやWebブラウザに付いてきたルート証明書の真正性を検証できるのかなって思ったから、それならば信頼できる(OSやWebブラウザに付いてきたルート証明書の真正性が検証可能な)フィンガープリントはどこからどうやって入手するの? ってね。
              • > たずねてるのはこっちなんだから。

                尋ねてること自体が滑稽。

                > 信頼できるフィンガープリント(OSやWebブラウザに付い
                > てきたルート証明書の真正性が検証可能な)はどこから
                > どうやって入手するの?

                ルート証明書の真正性だけ確認しようとしているのが滑稽。
                OSやWebブラウザの真正性も同時に確認しないと意味がない。

                何らかの方法でOSやWebブラウザの真正性を信じている
                (例えばCD-ROMで入手したとか、インターネットから入手
                するときにデジタル署名を確認したとかで)のならば、
                ルート証明書の真正性も既に等しく信じたことになる。

                その後にルート証明書を改竄されたり不正追加されたかも
                しれないと心配するのなら、OSやWebブラウザを改竄された
                可能性も同時に心配するべきなのだから、ルート証明書の
                フィンガープリントを求めるなら、OSやWebブラウザが改竄
                されていないことを確認する方法も要求しないといけない。

                フィンガープリントの話が出てくるのは、正当な組織が
                新しいルート証明書をインターネットで配るときに、ダウ
                ンロードした証明書の真正性を確認できるようにするために、
                インターネット以外の方法でフィンガープリントを配る
                というときだけ。

                これは、WebブラウザやOSのパッチや新しいソフトウェアを
                インターネットから入手するときも同じで、そのときは、
                配布ファイルのデジタル署名を検証することになっている。
                ルート証明書もデジタル署名して配れば、フィンガープリ
                ントもいらないことになる。
                親コメント
              • つまり、#819212が大嘘つきだったと。
                それなら大いに納得。

アレゲは一日にしてならず -- アレゲ研究家

処理中...