Re:もう当たり前のように使われてるんじゃないか (#821881) | 無料Phishing対策ソフトが登場、しかし問い合せ画面は「オレオレ証明書」

「無料Phishing対策ソフトが登場、しかし問い合せ画面は「オレオレ証明書」」記事へのコメント

記事ページを表示すべてのコメント取得

検索144コメント Log In/Create an Account

もう当たり前のように使われてるんじゃないか (スコア:0)

by Anonymous Coward

おれおれ証明書って、もう当たり前のように使われてるんじゃないかと思うよ。あちこち使ってる感じじゃ。わざと言うより、経営側がコストけちってるとか、技術者が無知なのか。まぁ、前者だろうけど。技術への中途半端な理解が原因なのかなぁ。
#NetscapeでHotmailのSSL認証にアクセスすると証明書を認めてくれないんよね。セッション中だけ通すことで使ってるけど、あれも問題ある証明書なのかしらん。
- Re:もう当たり前のように使われてるんじゃないか (スコア:1)
  
  by Ryo.F (3896)
  
  オレオレ証明書でも、他の方法で広くフィンガープリントを入手できるようになっていれば問題なんですがね。
  ＃そういうのはオレオレ証明書って言わないんでしょうか？
  - Re:もう当たり前のように使われてるんじゃないか (スコア:2, すばらしい洞察)
    
    by mocchino (13752)
    
    前回ここでネタ [srad.jp]になったときに紹介された所の説明 [takagi-hiromitsu.jp]よると、ちゃんと運用されていればオレオレ証明書にはならないでしょうね
    
    ただし、認証や、アクセス規制がかからず公開されているWebページで使用されている自己発行証明書はオレオレ証明書扱いでしょう
    
    認証等で制限され、使用者すべてに自己証明書等が配布されている
    - Re:もう当たり前のように使われてるんじゃないか (スコア:1)
      
      by Ryo.F (3896)
      
      > フィンガープリントだろうと、別ルートで公開キーを安全に入手出来るようにしてあろうと
      > それを該当ルートで入手してない人にとってはオレオレ証明書と変わらない訳だし、
      
      素朴な疑問として、ダウンロードしてきたブラウザとか、
      プレインストールさていたOSに最初から入っている証明書、というのは、
      どういう扱いになるんでしょうか？
      それを別途検証して使っているという人をあまり見たことがありませんが。
      そういう意味では、そういうものもオレオレ証明書と変わらん、
      と結論付けざるを得ないのではないでしょうか。
      - Re:もう当たり前のように使われてるんじゃないか (スコア:1)
        
        by mocchino (13752)
        
        信頼出来るルート=流通経路、配布元が信頼出来るかどうかでしょうから、無論その流通ルートが信頼に足る物では無いと判断するのであればオレオレ証明書と変わらないでしょう
        
        逆に言えば配布元、配布ルートが信頼できる物でありえるのであればそれはオレオレでは無いと言うことになります
        最終的に判断するのは使用者であり購入者です
        まぁいい加減な証明書を添付して配布していたら、購入者以外の人からのつっこみも有るかもしれませんね
        Microsoftや各ブラウザ提供者が配布している証明書は少なくとも信用できると一般的に判断されている?から使用されているのでしょう。
        
        そして各証明書等を持っていない場合は信頼できるかどうかですら、判断されていないわけですから、当然オレオレ証明書となるわけです
        
        Re:もう当たり前のように使われてるんじゃないか (スコア:5, すばらしい洞察)
        
        by Anonymous Coward
        
        たとえばFirefoxなんかは http://ftp.mozilla-japan.org/... とSSL通さずに配布されてる訳で、オレオレ証明書の危険性として指摘されている、経路迂回とかされちゃうと容易に配布元と違ったものがユーザの手に渡ってしまう事になりますね。
        こういうブラウザとかをダウンロードしてルート証明書まで確認する人がどれだけいるか？と言えば、ほとんどの人はそんなものまで確認しないんじゃないかな？
        でもなぜか信頼されてますよね。
        信頼されてると言うより、そこにオレオレ証明と同様な危険性があるとは誰も気にしていないし指摘している人もいないというか。
        
        Re:もう当たり前のように使われてるんじゃないか (スコア:1)
        
        by mocchino (13752)
        
        そうですね、オレオレと同様に配布元、流通側の双方も改竄されていないか、そして流通側は各配布元に秘密キーの管理体制を含め検査しているかどうか？等を確認する手段をもうけ
        出来るだけ安全な方法で配布する事が必要だと思います。
        
        Firefoxを使ってSSLでアクセスするのであれば当然考慮した方がよいでしょうし、信用できなければSSLのアクセスには使用しない方が良いでしょう
        オレオレと同程度に危険だと思いますし当然でしょう。
        SSLは公開キーの配布元、流通元、流通方法のすべてが信用できて初めて使用できる物だと考えます。
        もっともこれは公開キー暗号方式全般に言えることではあるのですが..
        
        Re:もう当たり前のように使われてるんじゃないか (スコア:1)
        
        by Ryo.F (3896) on 2005年10月28日 19時42分 (#821881) 日記
        
        > 信用できなければSSLのアクセスには使用しない方が良いでしょう
        
        なぜSSL(TLS)限定？
        そこまで信用できないのなら、素のHTTPのアクセスだってぁゃιぃじゃありませんか。
        まあ、ソースコードを検証した上で、安全なOS・コンパイラでソースからmakeしたFirefox、
        というのなら話は別ですが、それは、自己署名証明書のフィンガープリントを検証するより
        はるかに難易度が高いのではないでしょうか？
        
        > オレオレと同程度に危険だと思いますし当然でしょう。
        
        それよりはるかに危険ですよ。
        だって普通、Firefoxのインストールって、管理者権限でバイナリを実行するでしょ？
        そんなことができるんだったら、ユーザのPCにイタズラし放題ですから。
        
        > SSLは公開キーの配布元、流通元、流通方法のすべてが信用できて初めて使用できる物だと考えます。
        
        で、その配布・流通を助ける一手段として、フィンガープリントが準備されているわけですが、
        なぜそこまでフィンガープリントを否定するんでしょうか？
        
        危険性の見積において、全体のバランスが取れていない印象を受けます。
        
        シェア
        
        親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

無料Phishing対策ソフトが登場、しかし問い合せ画面は「オレオレ証明書」 More ログイン

「無料Phishing対策ソフトが登場、しかし問い合せ画面は「オレオレ証明書」」記事へのコメント

もう当たり前のように使われてるんじゃないか (スコア:0)

Re:もう当たり前のように使われてるんじゃないか (スコア:1)

Re:もう当たり前のように使われてるんじゃないか (スコア:2, すばらしい洞察)

Re:もう当たり前のように使われてるんじゃないか (スコア:1)

Re:もう当たり前のように使われてるんじゃないか (スコア:1)

Re:もう当たり前のように使われてるんじゃないか (スコア:5, すばらしい洞察)

Re:もう当たり前のように使われてるんじゃないか (スコア:1)

Re:もう当たり前のように使われてるんじゃないか (スコア:1)

スラド