アカウント名:
パスワード:
おれおれ証明書って、もう当たり前のように使われてるんじゃないかと思うよ。あちこち使ってる感じじゃ。わざと言うより、経営側がコストけちってるとか、技術者が無知なのか。まぁ、前者だろうけど。技術への中途半端な理解が原因なのかなぁ。
#NetscapeでHotmailのSSL認証にアクセスすると証明書を認めてくれないんよね。セッション中だけ通すことで使ってるけど、あれも問題ある証明書なのかしらん。
でもなぜか信頼されてますよね。 信頼されてると言うより、そこにオレオレ証明と同様な危険性があるとは誰も気にしていないし指摘している人もいないというか。 それに対して、いわゆるオレオレ証明に対してはヒステリックに拒絶をするというのは、危険性の指摘にバランスを欠いていると感じます。
ブラウザがhttpなんだからオレオレ証明でもいいじゃないかとか、オレオレ証明で騒ぐぐらいならブラウザの配布も問題にしろという話ではなく、どちらも同程度の危険性がある(むしろブラウザの方が明確にユーザがルート証明をインストールするという手順を経ない分危険かもしれない)にも関わらず、危険性の指摘がバランスを欠いているという事に対して、直感的な違和感があるというだけですが。
そこにオレオレ証明と同様な危険性があるとは誰も気にしていないし指摘している人もいないというか。
同じThawte発行の証明書で、こういう問題 [srad.jp]が指摘されています。
コード署名というのは、「改竄の可能性がある」と認識している人が「改竄されていない」と確認するための手段に過ぎません。 いくら本物にデジタル署名を施しても、「改竄の可能性がある」と認識していない人には何の役にも立ちません。
高木さんが「オレオレ証明は危険だ」と指摘し、広報しているのと同様以上の情熱(?)を持って、広く一般に「Firefoxをダウンロードしたらデジタル署名を確認しないと危険だ」と指摘し、広報している人がいますか? 多くの確認もせずに使っている人が危険にさらされているという事を気にしている人がどれだけいますか? 自分が危険かもしれないと考えている人はいるでしょうが
高木さんが「オレオレ証明は危険だ」と指摘し、広報しているのと同様以上の情熱(?)を持って、広く一般に「Firefoxをダウンロードしたらデジタル署名を確認しないと危険だ」と指摘し、広報している人がいますか?
これ [takagi-hiromitsu.jp] とかこれ [takagi-hiromitsu.jp] とかありましたね。
少なくともmozilla-japan.orgのページには「ダウンロードしたらデジタル署
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
もう当たり前のように使われてるんじゃないか (スコア:0)
おれおれ証明書って、もう当たり前のように使われてるんじゃないかと思うよ。あちこち使ってる感じじゃ。わざと言うより、経営側がコストけちってるとか、技術者が無知なのか。まぁ、前者だろうけど。技術への中途半端な理解が原因なのかなぁ。
#NetscapeでHotmailのSSL認証にアクセスすると証明書を認めてくれないんよね。セッション中だけ通すことで使ってるけど、あれも問題ある証明書なのかしらん。
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
#そういうのはオレオレ証明書って言わないんでしょうか?
Re:もう当たり前のように使われてるんじゃないか (スコア:2, すばらしい洞察)
ただし、認証や、アクセス規制がかからず公開されているWebページで使用されている自己発行証明書はオレオレ証明書扱いでしょう
認証等で制限され、使用者すべてに自己証明書等が配布されている
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
> それを該当ルートで入手してない人にとってはオレオレ証明書と変わらない訳だし、
素朴な疑問として、ダウンロードしてきたブラウザとか、
プレインストールさていたOSに最初から入っている証明書、というのは、
どういう扱いになるんでしょうか?
それを別途検証して使っているという人をあまり見たことがありませんが。
そういう意味では、そういうものもオレオレ証明書と変わらん、
と結論付けざるを得ないのではないでしょうか。
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
逆に言えば配布元、配布ルートが信頼できる物でありえるのであればそれはオレオレでは無いと言うことになります
最終的に判断するのは使用者であり購入者です
まぁいい加減な証明書を添付して配布していたら、購入者以外の人からのつっこみも有るかもしれませんね
Microsoftや各ブラウザ提供者が配布している証明書は少なくとも信用できると一般的に判断されている?から使用されているのでしょう。
そして各証明書等を持っていない場合は信頼できるかどうかですら、判断されていないわけですから、当然オレオレ証明書となるわけです
Re:もう当たり前のように使われてるんじゃないか (スコア:5, すばらしい洞察)
こういうブラウザとかをダウンロードしてルート証明書まで確認する人がどれだけいるか?と言えば、ほとんどの人はそんなものまで確認しないんじゃないかな?
でもなぜか信頼されてますよね。
信頼されてると言うより、そこにオレオレ証明と同様な危険性があるとは誰も気にしていないし指摘している人もいないというか。
それに対して、いわゆるオレオレ証明に対してはヒステリックに拒絶をするというのは、危険性の指摘にバランスを欠いていると感じます。
ブラウザがhttpなんだからオレオレ証明でもいいじゃないかとか、オレオレ証明で騒ぐぐらいならブラウザの配布も問題にしろという話ではなく、どちらも同程度の危険性がある(むしろブラウザの方が明確にユーザがルート証明をインストールするという手順を経ない分危険かもしれない)にも関わらず、危険性の指摘がバランスを欠いているという事に対して、直感的な違和感があるというだけですが。
Re:もう当たり前のように使われてるんじゃないか (スコア:2, 参考になる)
是非確認してみてください。ただし、V1.0には署名がありません。
Windwos XP SP2 だと、チェックが少し楽になってます。
インターネット経由でダウンロードしたプログラムには「インターネットからダウンロードした」というマークが付き
コード署名されて正当性が確認できたときは軽い警告(黄色)が出て、そうでないときは強い警告(赤色)が出たはずです。
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
出来るだけ安全な方法で配布する事が必要だと思います。
Firefoxを使ってSSLでアクセスするのであれば当然考慮した方がよいでしょうし、信用できなければSSLのアクセスには使用しない方が良いでしょう
オレオレと同程度に危険だと思いますし当然でしょう。
SSLは公開キーの配布元、流通元、流通方法のすべてが信用できて初めて使用できる物だと考えます。
もっともこれは公開キー暗号方式全般に言えることではあるのですが..
Re:もう当たり前のように使われてるんじゃないか (スコア:0)
Re:もう当たり前のように使われてるんじゃないか (スコア:0)
「どうすればFirefoxを信じられる?」の件がやっと対処 [srad.jp]
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
ちなみに..
>SSLは公開キーの配布元、流通元、流通方法のすべてが信用できて初めて使用できる物だと考えます。
この条件に合致するのは、あくまでrootCAの話で一般の公開キーは対象外です。
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
なぜSSL(TLS)限定?
そこまで信用できないのなら、素のHTTPのアクセスだってぁゃιぃじゃありませんか。
まあ、ソースコードを検証した上で、安全なOS・コンパイラでソースからmakeしたFirefox、
というのなら話は別ですが、それは、自己署名証明書のフィンガープリントを検証するより
はるかに難易度が高いのではないでしょうか?
> オレオレと同程度に危険だと思いますし当然でしょう。
それよりはるかに危険ですよ。
だって普通、Firefoxのインストールって、管理者権限でバイナリを実行するでしょ?
そんなことができるんだったら、ユーザのPCにイタズラし放題ですから。
> SSLは公開キーの配布元、流通元、流通方法のすべてが信用できて初めて使用できる物だと考えます。
で、その配布・流通を助ける一手段として、フィンガープリントが準備されているわけですが、
なぜそこまでフィンガープリントを否定するんでしょうか?
危険性の見積において、全体のバランスが取れていない印象を受けます。
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
同じThawte発行の証明書で、こういう問題 [srad.jp]が指摘されています。
Re:もう当たり前のように使われてるんじゃないか (スコア:0)
Re:もう当たり前のように使われてるんじゃないか (スコア:0)
コード署名というのは、「改竄の可能性がある」と認識している人が「改竄されていない」と確認するための手段に過ぎません。
いくら本物にデジタル署名を施しても、「改竄の可能性がある」と認識していない人には何の役にも立ちません。
高木さんが「オレオレ証明は危険だ」と指摘し、広報しているのと同様以上の情熱(?)を持って、広く一般に「Firefoxをダウンロードしたらデジタル署名を確認しないと危険だ」と指摘し、広報している人がいますか?
多くの確認もせずに使っている人が危険にさらされているという事を気にしている人がどれだけいますか?
自分が危険かもしれないと考えている人はいるでしょうが
Re:もう当たり前のように使われてるんじゃないか (スコア:0)
これ [takagi-hiromitsu.jp] とかこれ [takagi-hiromitsu.jp] とかありましたね。
Re:もう当たり前のように使われてるんじゃないか (スコア:0)
悪意のあるスパイウエアとかにもコード署名は出来ちゃう。
署名を良く見て判断ということになるのですが
ホストのURLを注意深く確認するのは大変そう。