パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

無料Phishing対策ソフトが登場、しかし問い合せ画面は「オレオレ証明書」」記事へのコメント

  • おれおれ証明書って、もう当たり前のように使われてるんじゃないかと思うよ。あちこち使ってる感じじゃ。わざと言うより、経営側がコストけちってるとか、技術者が無知なのか。まぁ、前者だろうけど。技術への中途半端な理解が原因なのかなぁ。

    #NetscapeでHotmailのSSL認証にアクセスすると証明書を認めてくれないんよね。セッション中だけ通すことで使ってるけど、あれも問題ある証明書なのかしらん。

    • オレオレ証明書でも、他の方法で広くフィンガープリントを入手できるようになっていれば問題なんですがね。
      #そういうのはオレオレ証明書って言わないんでしょうか?
      • 当然なことだけど、秘密鍵がきちんと管理されていて、発行や失効のプロセスがちゃんとしていなければ、危険なことこの上ないですね。 それで、オレオレ証明書なんかを使っている所で、ちゃんと管理していると信用する気になります?
        • それは、CPとかCPS、あるいは、四季報や評判を見て総合的に判断すべきでしょうね。
          一番ものを言うのは、運用実績と言うところでしょうか。
          いずれにしても、自己署名証明書だからどうの、と簡単に結論付けられるものじゃないと思います。

          もちろん、フィンガープリントも配布しないような自己証明証明書は、信じるに値しません。
          しかし、どのくらいの認証局が、フィンガープリントを公告しているでしょうか。
          例えば、ベリサインだって、元をたどれば自己署名証明書ですが、
          例えば、印刷されたフィンガープリントって見たことあります?
          親コメント
          • ルート証明書の信頼性をどうやって確認するのかというのは非常に頭の痛い問題ですが、結局のところ決め手となる解決法は無いと思います。
            疑い出したらきりがありません。そもそもフィンガープリントが公示されていたとしても、その媒体が信用できるのかという問題を解決しなくてはなりませんし。
            たいていの人はブラウザやPCにあらかじめインストールされているものを無条件に信頼していますね。誰かがこっそりPCにログインして証明書を入れ替えていないかどうかなんてことまでは考えたりはしません。
            どうしても信用する気にならなければ証明書ストアから削除す
            • > 信用する気になれません。

              まあ、そういう立場の人が居ても構いません。それはその人の自由です。

              しかしながら、どのくらい信用できるのか、と言うのを判断するために、
              CPやCPS、複数の手段によるフィンガープリントの配布、その他レガシーな信用情報など、
              いろいろなものを利用することができるわけです。
              そういうものを見て総合的に判断しよう、という立場もあっていいですよね。

              逆に、ブラウザやOSの証明書ストアを信用している人をターゲットに、
              このような [srad.jp]手法も考えられるそうですよ。

              PKIの運用はいろいろ難しいことが多いです。
              親コメント
          • > どのくらいの認証局が、フィンガープリントを公告しているでしょうか。

            組み込み済みのルート証明書については、フィンガープリントなど照合する必要がありませんから。

            ブラウザ自身やOS全体の真正性確認せずに、証明書だけ真正性確認しても意味がないんですから。

            まだわからない?

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...