パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

無料Phishing対策ソフトが登場、しかし問い合せ画面は「オレオレ証明書」」記事へのコメント

  • おれおれ証明書って、もう当たり前のように使われてるんじゃないかと思うよ。あちこち使ってる感じじゃ。わざと言うより、経営側がコストけちってるとか、技術者が無知なのか。まぁ、前者だろうけど。技術への中途半端な理解が原因なのかなぁ。

    #NetscapeでHotmailのSSL認証にアクセスすると証明書を認めてくれないんよね。セッション中だけ通すことで使ってるけど、あれも問題ある証明書なのかしらん。

    • オレオレ証明書でも、他の方法で広くフィンガープリントを入手できるようになっていれば問題なんですがね。
      #そういうのはオレオレ証明書って言わないんでしょうか?
      • 当然なことだけど、秘密鍵がきちんと管理されていて、発行や失効のプロセスがちゃんとしていなければ、危険なことこの上ないですね。 それで、オレオレ証明書なんかを使っている所で、ちゃんと管理していると信用する気になります?
        • それは、CPとかCPS、あるいは、四季報や評判を見て総合的に判断すべきでしょうね。
          一番ものを言うのは、運用実績と言うところでしょうか。
          いずれにしても、自己署名証明書だからどうの、と簡単に結論付けられるものじゃないと思います。

          もちろん、フィンガープリントも配布しないような自己証明証明書は、信じるに値しません。
          しかし、どのくらいの認証局が、フィンガープリントを公告しているでしょうか。
          例えば、ベリサインだって、元をたどれば自己署名証明書ですが、
          例えば、印刷されたフィンガープリントって見たことあります?
          • by Anonymous Coward on 2005年10月28日 19時28分 (#821877)
            ルート証明書の信頼性をどうやって確認するのかというのは非常に頭の痛い問題ですが、結局のところ決め手となる解決法は無いと思います。
            疑い出したらきりがありません。そもそもフィンガープリントが公示されていたとしても、その媒体が信用できるのかという問題を解決しなくてはなりませんし。
            たいていの人はブラウザやPCにあらかじめインストールされているものを無条件に信頼していますね。誰かがこっそりPCにログインして証明書を入れ替えていないかどうかなんてことまでは考えたりはしません。
            どうしても信用する気にならなければ証明書ストアから削除するしかないですね。

            そもそも、フィンガープリントは証明書の同一性を確認する手段であって、ルート証明書の所有者が適切な管理を行っているかどうかを保証する手段ではありません。
            おっしゃるとおりに、そのサイトを信用するかどうかは総合的に判断することになります。しかしながら、仲間内に限定したサイトならともかく、広く一般に利用してもらうことを意図したサイトにオレオレ証明書を使っているようなところは信用する気になれません。証明書のコストをケチるようなところがきちんと管理しているかどうか非常に疑わしいからです。
            親コメント
            • > 信用する気になれません。

              まあ、そういう立場の人が居ても構いません。それはその人の自由です。

              しかしながら、どのくらい信用できるのか、と言うのを判断するために、
              CPやCPS、複数の手段によるフィンガープリントの配布、その他レガシーな信用情報など、
              いろいろなものを利用することができるわけです。
              そういうものを見て総合的に判断しよう、という立場もあっていいですよね。

              逆に、ブラウザやOSの証明書ストアを信用している人をターゲットに、
              このような [srad.jp]手法も考えられるそうですよ。

              PKIの運用はいろいろ難しいことが多いです。
              親コメント

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...