パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

無料Phishing対策ソフトが登場、しかし問い合せ画面は「オレオレ証明書」」記事へのコメント

  • おれおれ証明書って、もう当たり前のように使われてるんじゃないかと思うよ。あちこち使ってる感じじゃ。わざと言うより、経営側がコストけちってるとか、技術者が無知なのか。まぁ、前者だろうけど。技術への中途半端な理解が原因なのかなぁ。

    #NetscapeでHotmailのSSL認証にアクセスすると証明書を認めてくれないんよね。セッション中だけ通すことで使ってるけど、あれも問題ある証明書なのかしらん。

    • オレオレ証明書でも、他の方法で広くフィンガープリントを入手できるようになっていれば問題なんですがね。
      #そういうのはオレオレ証明書って言わないんでしょうか?
      • 前回ここでネタ [srad.jp]になったときに紹介された所の説明 [takagi-hiromitsu.jp]よると、ちゃんと運用されていればオレオレ証明書にはならないでしょうね

        ただし、認証や、アクセス規制がかからず公開されているWebページで使用されている自己発行証明書はオレオレ証明書扱いでしょう

        認証等で制限され、使用者すべてに自己証明書等が配布されている
        • > フィンガープリントだろうと、別ルートで公開キーを安全に入手出来るようにしてあろうと
          > それを該当ルートで入手してない人にとってはオレオレ証明書と変わらない訳だし、

          素朴な疑問として、ダウンロードしてきたブラウザとか、
          プレインストールさていたOSに最初から入っている証明書、というのは、
          どういう扱いになるんでしょうか?
          それを別途検証して使っているという人をあまり見たことがありませんが。
          そういう意味では、そういうものもオレオレ証明書と変わらん、
          と結論付けざるを得ないのではないでしょうか。
          • > ダウンロードしてきたブラウザとか、
            > プレインストールさていたOSに最初から入っている証明書、というのは、
            > どういう扱いになるんでしょうか?
            > それを別途検証して使っているという人をあまり見たことがありませんが。
            > そういう意味では、そういうものもオレオレ証明書と変わらん、
            > と結論付けざるを得ないのではないでしょうか。

            同意します.すでに,「オレオレ証明書か否か」での単純な基準だけで安全性を判断してはダメ!という教育が必要な段階ではないかと思います.

            以下,以前自分のblogのエントリ( 無償で正統的なコードサイニング証明書を入手する方法 [keio.ac.jp])で書いた内容ですが:

            たとえば,ThawteのPersonal E-mail Certificates [thawte.com]というサービスでは,メールアドレスさえあれば,個人用の証明書を,誰にでもすぐにタダで発行してもらえます.ここで使われているCAは,Firefox, Thunderbird, Java Runtime Environmentなどにあらかじめ組み込まれている,Thawte Consulting の Thawte Personal Freemail CA という名前のもので,ここから発行された証明書で署名された内容は,上記のアプリケーションで,警告無しに受け入れられることになります.

            さらに,Convert the Java JKS key-store to Microsoft PFX format [crionics.com]というページには,そうしてThawteから受け取った証明書を,Java JKS key-store 形式ないし Microsoft PFX format に変換する手順が書かれています.このページに沿って作業をすれば,Java JAR ファイルへでもMicrosoft CAB ファイルへでも,自由にコード署名ができるようになります.

            親コメント
            • Firefoxの設定を確認してみたんですけど、初期設定ではThawte Personal Freemail CAの証明書は電子メールの特定にしか使われていません。
              わざわざ設定を変えない限りWebサイトの偽装は見破れるのではないかと思うのですが、どうなのでしょうか。
              • (亀レスですが,このリンクを辿ってくる方がいらっしゃるので,書き込んでおきます)

                すみません,ぼくの書き方が,ちょっと紛らわしかったかもしれませんね.FirefoxやWindowsの証明書ストアについては,大丈夫なのでしょう.ヤバいのはJavaです.Javaでは,最新のJava SE 6であっても,Java Control Panel のCertificatesの中の,Certificate type: Signer CAのリストの中に,"Thawte Personal Freemail CA"が含まれてしまっているのです…!

                その結果,

                > 本当に
                > >「オレオレ証明書」としての警告が表示されない

                ということになります.
                http://sqs.cmr.sfc.keio.ac.jp/tdiary/?date=20051003#p02
                に,画面ダンプを載せましたので,ご覧下さい.
                親コメント

ソースを見ろ -- ある4桁UID

処理中...