たとえば,ThawteのPersonal E-mail Certificates [thawte.com]というサービスでは,メールアドレスさえあれば,個人用の証明書を,誰にでもすぐにタダで発行してもらえます.ここで使われているCAは,Firefox, Thunderbird, Java Runtime Environmentなどにあらかじめ組み込まれている,Thawte Consulting の Thawte Personal Freemail CA という名前のもので,ここから発行された証明書で署名された内容は,上記のアプリケーションで,警告無しに受け入れられることになります.
さらに,Convert the Java JKS key-store to Microsoft PFX format [crionics.com]というページには,そうしてThawteから受け取った証明書を,Java JKS key-store 形式ないし Microsoft PFX format に変換する手順が書かれています.このページに沿って作業をすれば,Java JAR ファイルへでもMicrosoft CAB ファイルへでも,自由にコード署名ができるようになります.
すみません,ぼくの書き方が,ちょっと紛らわしかったかもしれませんね.FirefoxやWindowsの証明書ストアについては,大丈夫なのでしょう.ヤバいのはJavaです.Javaでは,最新のJava SE 6であっても,Java Control Panel のCertificatesの中の,Certificate type: Signer CAのリストの中に,"Thawte Personal Freemail CA"が含まれてしまっているのです…!
もう当たり前のように使われてるんじゃないか (スコア:0)
おれおれ証明書って、もう当たり前のように使われてるんじゃないかと思うよ。あちこち使ってる感じじゃ。わざと言うより、経営側がコストけちってるとか、技術者が無知なのか。まぁ、前者だろうけど。技術への中途半端な理解が原因なのかなぁ。
#NetscapeでHotmailのSSL認証にアクセスすると証明書を認めてくれないんよね。セッション中だけ通すことで使ってるけど、あれも問題ある証明書なのかしらん。
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
#そういうのはオレオレ証明書って言わないんでしょうか?
Re:もう当たり前のように使われてるんじゃないか (スコア:2, すばらしい洞察)
ただし、認証や、アクセス規制がかからず公開されているWebページで使用されている自己発行証明書はオレオレ証明書扱いでしょう
認証等で制限され、使用者すべてに自己証明書等が配布されている
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
> それを該当ルートで入手してない人にとってはオレオレ証明書と変わらない訳だし、
素朴な疑問として、ダウンロードしてきたブラウザとか、
プレインストールさていたOSに最初から入っている証明書、というのは、
どういう扱いになるんでしょうか?
それを別途検証して使っているという人をあまり見たことがありませんが。
そういう意味では、そういうものもオレオレ証明書と変わらん、
と結論付けざるを得ないのではないでしょうか。
Re:もう当たり前のように使われてるんじゃないか (スコア:4, 参考になる)
> プレインストールさていたOSに最初から入っている証明書、というのは、
> どういう扱いになるんでしょうか?
> それを別途検証して使っているという人をあまり見たことがありませんが。
> そういう意味では、そういうものもオレオレ証明書と変わらん、
> と結論付けざるを得ないのではないでしょうか。
同意します.すでに,「オレオレ証明書か否か」での単純な基準だけで安全性を判断してはダメ!という教育が必要な段階ではないかと思います.
以下,以前自分のblogのエントリ( 無償で正統的なコードサイニング証明書を入手する方法 [keio.ac.jp])で書いた内容ですが:
たとえば,ThawteのPersonal E-mail Certificates [thawte.com]というサービスでは,メールアドレスさえあれば,個人用の証明書を,誰にでもすぐにタダで発行してもらえます.ここで使われているCAは,Firefox, Thunderbird, Java Runtime Environmentなどにあらかじめ組み込まれている,Thawte Consulting の Thawte Personal Freemail CA という名前のもので,ここから発行された証明書で署名された内容は,上記のアプリケーションで,警告無しに受け入れられることになります.
さらに,Convert the Java JKS key-store to Microsoft PFX format [crionics.com]というページには,そうしてThawteから受け取った証明書を,Java JKS key-store 形式ないし Microsoft PFX format に変換する手順が書かれています.このページに沿って作業をすれば,Java JAR ファイルへでもMicrosoft CAB ファイルへでも,自由にコード署名ができるようになります.
Re:もう当たり前のように使われてるんじゃないか (スコア:0)
わざわざ設定を変えない限りWebサイトの偽装は見破れるのではないかと思うのですが、どうなのでしょうか。
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
すみません,ぼくの書き方が,ちょっと紛らわしかったかもしれませんね.FirefoxやWindowsの証明書ストアについては,大丈夫なのでしょう.ヤバいのはJavaです.Javaでは,最新のJava SE 6であっても,Java Control Panel のCertificatesの中の,Certificate type: Signer CAのリストの中に,"Thawte Personal Freemail CA"が含まれてしまっているのです…!
その結果,
> 本当に
> >「オレオレ証明書」としての警告が表示されない
ということになります.
http://sqs.cmr.sfc.keio.ac.jp/tdiary/?date=20051003#p02
に,画面ダンプを載せましたので,ご覧下さい.