パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

無料Phishing対策ソフトが登場、しかし問い合せ画面は「オレオレ証明書」」記事へのコメント

  • おれおれ証明書って、もう当たり前のように使われてるんじゃないかと思うよ。あちこち使ってる感じじゃ。わざと言うより、経営側がコストけちってるとか、技術者が無知なのか。まぁ、前者だろうけど。技術への中途半端な理解が原因なのかなぁ。

    #NetscapeでHotmailのSSL認証にアクセスすると証明書を認めてくれないんよね。セッション中だけ通すことで使ってるけど、あれも問題ある証明書なのかしらん。

    • オレオレ証明書でも、他の方法で広くフィンガープリントを入手できるようになっていれば問題なんですがね。
      #そういうのはオレオレ証明書って言わないんでしょうか?
      • 前回ここでネタ [srad.jp]になったときに紹介された所の説明 [takagi-hiromitsu.jp]よると、ちゃんと運用されていればオレオレ証明書にはならないでしょうね

        ただし、認証や、アクセス規制がかからず公開されているWebページで使用されている自己発行証明書はオレオレ証明書扱いでしょう

        認証等で制限され、使用者すべてに自己証明書等が配布されている
        • > フィンガープリントだろうと、別ルートで公開キーを安全に入手出来るようにしてあろうと
          > それを該当ルートで入手してない人にとってはオレオレ証明書と変わらない訳だし、

          素朴な疑問として、ダウンロードしてきたブラウザとか、
          プレインストールさていたOSに最初から入っている証明書、というのは、
          どういう扱いになるんでしょうか?
          それを別途検証して使っているという人をあまり見たことがありませんが。
          そういう意味では、そういうものもオレオレ証明書と変わらん、
          と結論付けざるを得ないのではないでしょうか。
          • 信頼出来るルート=流通経路、配布元が信頼出来るかどうかでしょうから、無論その流通ルートが信頼に足る物では無いと判断するのであればオレオレ証明書と変わらないでしょう

            逆に言えば配布元、配布ルートが信頼できる物でありえるのであればそれはオレオレでは無いと言うことになります
            最終的に判断するのは使用者であり購入者です
            まぁいい加減な証明書を添付して配布していたら、購入者以外の人からのつっこみも有るかもしれませんね
            Microsoftや各ブラウザ提供者が配布している証明書は少なくとも信用できると一般的に判断されている?から使用されているのでしょう。

            そして各証明書等を持っていない場合は信頼できるかどうかですら、判断されていないわけですから、当然オレオレ証明書となるわけです
            • > 最終的に判断するのは使用者であり購入者です

              であれば、フィンガープリントで検証するのもありですね。

              そう考えると、フィンガープリントを別途入手する手段が用意されているものを、そうでないものと一緒にして、
              ただし、認証や、アクセス規制がかからず公開されているWebページで使用されている自己発行証明書はオレオレ証明書扱いでしょう
              と括ってしまうのは、乱暴な議論じゃないでしょうか。

              もちろん、そういう立場の人が居ても良い訳ですが、そうでない立場もありますよ、ということで。
              • フィンガープリントをそれが参照する事の出来るすべての人に配布済みで、全ユーザーがアクセスする前orアクセスした直後に正常であることを確認するのであるのであれば、それはオレオレ証明書ではないでしょう。
                ちなみに出来ることが可能である事ではありません

                それは前の発言にも書いたとおりです、アクセスが確認できる人に制限されており、さらにユーザーに証明書等が信用できるルートで配布されていれば問題ないと言うこと
                逆に言えば参照できる全ユーザーがフィンガープリントを確認し、正常で有ることを確認するのであればオレオレではないと言うことです。

                しかし、
              • > フィンガープリントを<<略>>確認するのであるのであれば、

                それと同等の検証を、ブラウザ・OSの配布・流通においては、どう行ってます?

                フィンガープリントが事前に全員に配られていなければならない、というのは厳しすぎる気がします。
                ブラウザやOSの配布・流通では、すべての人が検証手段を持っているわけですらないのですから。
                利用しようとする人のほとんどすべてが、フィンガープリントを(複数の手段で)入手できる、
                と言う程度が適当だと思いますが、どうでしょうか?
                それでも、ブラウザやOSの流通に比べて、厳しすぎるような気もしなくはないですが。
                -----

                ...と、言うよ
              • by Anonymous Coward on 2005年10月28日 19時27分 (#821875)
                度合いで判断すべき話題だよね。
                それを *一般人に分かりやすい* という錦の御旗の下にゼロイチで分けるから、グレーゾーンを正しく評価できなくなる。

                机上で決めた分類以外は存在そのものを無視しようとする、官僚病の一種ですな。
                親コメント

開いた括弧は必ず閉じる -- あるプログラマー

処理中...