アカウント名:
パスワード:
おれおれ証明書って、もう当たり前のように使われてるんじゃないかと思うよ。あちこち使ってる感じじゃ。わざと言うより、経営側がコストけちってるとか、技術者が無知なのか。まぁ、前者だろうけど。技術への中途半端な理解が原因なのかなぁ。
#NetscapeでHotmailのSSL認証にアクセスすると証明書を認めてくれないんよね。セッション中だけ通すことで使ってるけど、あれも問題ある証明書なのかしらん。
オレオレ証明書でも、他の方法で広くフィンガープリントを入手できるようになっていれば問題なんですがね。#そういうのはオレオレ証明書って言わないんでしょうか?
第三種オレオレ証明書 不特定多数に利用させることを想定していて、ルート証明書かサーバ証明書をインストールするよう促しており、安全なインストール方法が用意されているもの。
そのような証明書でありながら、サーバの管理者によって警告を無視していいと主張されている、あるいはブラウザの設定で警告を回避する(証明書を信頼できるものとして設定してしまう)ことが推奨されている証明書がいわゆる「オレオレ証明書」である
同じLANを使っている多の利用者に盗聴されない程度の意味はあるかも知れません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
もう当たり前のように使われてるんじゃないか (スコア:0)
おれおれ証明書って、もう当たり前のように使われてるんじゃないかと思うよ。あちこち使ってる感じじゃ。わざと言うより、経営側がコストけちってるとか、技術者が無知なのか。まぁ、前者だろうけど。技術への中途半端な理解が原因なのかなぁ。
#NetscapeでHotmailのSSL認証にアクセスすると証明書を認めてくれないんよね。セッション中だけ通すことで使ってるけど、あれも問題ある証明書なのかしらん。
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
#そういうのはオレオレ証明書って言わないんでしょうか?
第三種オレオレ証明書 (スコア:3, 参考になる)
はてなダイヤリー -オレオレ証明書とは- [hatena.ne.jp] に記載されている「高木浩光氏によるオレオレ証明書の分類」に従うと
ではないでしょうか。
Re:第三種オレオレ証明書 (スコア:3, 参考になる)
件のページではオレオレ証明書の定義として次のようにあります。
自己認証の証明書でも、それが安全であると主張していなければ、単純にSSLを使っていないだけのページと同じ程度の安全性で、利用者もそのつもりで利用するというだけでしょう。
安全でないものを安全だと嘘の説明をすることがオレオレ証明書の問題なので、安全だと言わない限りは非難される物でもないと思います。
Re:第三種オレオレ証明書 (スコア:1, すばらしい洞察)
だったらそもそもSSLに無駄なコストを掛ける必要はないと思いますが何のために導入するのでしょうか。
Re:第三種オレオレ証明書 (スコア:1)
たとえば、クライアントがクッキーを利用できないことを想定してWebサービスのセッション機能を実現するときに、URLにセッションキーを持つ実装があります。しかし、この方法はSSLを利用しない場合に、プロキシサーバのログや、Refererからセッションキーが(プロキサーバの管理者や、外部サイトの利用者が)意図せずして流出します。
悪意を持った攻撃は防げませんが、自己認証のSSLでもこういった事故は防げます。
もっとも明確にそういう目的を持って使っていることは稀だと思いますけれど。
Re:第三種オレオレ証明書 (スコア:0)
確かになりすましは区別できませんが、わざわざ仕掛けないと騙せませんから。
同じLANを使っている多の利用者に盗聴されない程度の意味はあるかも知れません。
Re:第三種オレオレ証明書 (スコア:0)