アカウント名:
パスワード:
おれおれ証明書って、もう当たり前のように使われてるんじゃないかと思うよ。あちこち使ってる感じじゃ。わざと言うより、経営側がコストけちってるとか、技術者が無知なのか。まぁ、前者だろうけど。技術への中途半端な理解が原因なのかなぁ。
#NetscapeでHotmailのSSL認証にアクセスすると証明書を認めてくれないんよね。セッション中だけ通すことで使ってるけど、あれも問題ある証明書なのかしらん。
ただし、認証や、アクセス規制がかからず公開されているWebページで使用されている自己発行証明書はオレオレ証明書扱いでしょう
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
もう当たり前のように使われてるんじゃないか (スコア:0)
おれおれ証明書って、もう当たり前のように使われてるんじゃないかと思うよ。あちこち使ってる感じじゃ。わざと言うより、経営側がコストけちってるとか、技術者が無知なのか。まぁ、前者だろうけど。技術への中途半端な理解が原因なのかなぁ。
#NetscapeでHotmailのSSL認証にアクセスすると証明書を認めてくれないんよね。セッション中だけ通すことで使ってるけど、あれも問題ある証明書なのかしらん。
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
#そういうのはオレオレ証明書って言わないんでしょうか?
Re:もう当たり前のように使われてるんじゃないか (スコア:2, すばらしい洞察)
ただし、認証や、アクセス規制がかからず公開されているWebページで使用されている自己発行証明書はオレオレ証明書扱いでしょう
認証等で制限され、使用者すべてに自己証明書等が配布されている
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
> それを該当ルートで入手してない人にとってはオレオレ証明書と変わらない訳だし、
素朴な疑問として、ダウンロードしてきたブラウザとか、
プレインストールさていたOSに最初から入っている証明書、というのは、
どういう扱いになるんでしょうか?
それを別途検証して使っているという人をあまり見たことがありませんが。
そういう意味では、そういうものもオレオレ証明書と変わらん、
と結論付けざるを得ないのではないでしょうか。
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
逆に言えば配布元、配布ルートが信頼できる物でありえるのであればそれはオレオレでは無いと言うことになります
最終的に判断するのは使用者であり購入者です
まぁいい加減な証明書を添付して配布していたら、購入者以外の人からのつっこみも有るかもしれませんね
Microsoftや各ブラウザ提供者が配布している証明書は少なくとも信用できると一般的に判断されている?から使用されているのでしょう。
そして各証明書等を持っていない場合は信頼できるかどうかですら、判断されていないわけですから、当然オレオレ証明書となるわけです
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
であれば、フィンガープリントで検証するのもありですね。
そう考えると、フィンガープリントを別途入手する手段が用意されているものを、そうでないものと一緒にして、と括ってしまうのは、乱暴な議論じゃないでしょうか。
もちろん、そういう立場の人が居ても良い訳ですが、そうでない立場もありますよ、ということで。
Re:もう当たり前のように使われてるんじゃないか (スコア:2, 参考になる)
ちなみに出来ることが可能である事ではありません
それは前の発言にも書いたとおりです、アクセスが確認できる人に制限されており、さらにユーザーに証明書等が信用できるルートで配布されていれば問題ないと言うこと
逆に言えば参照できる全ユーザーがフィンガープリントを確認し、正常で有ることを確認するのであればオレオレではないと言うことです。
しかし、
Re:もう当たり前のように使われてるんじゃないか (スコア:2, 参考になる)
それと同等の検証を、ブラウザ・OSの配布・流通においては、どう行ってます?
フィンガープリントが事前に全員に配られていなければならない、というのは厳しすぎる気がします。
ブラウザやOSの配布・流通では、すべての人が検証手段を持っているわけですらないのですから。
利用しようとする人のほとんどすべてが、フィンガープリントを(複数の手段で)入手できる、
と言う程度が適当だと思いますが、どうでしょうか?
それでも、ブラウザやOSの流通に比べて、厳しすぎるような気もしなくはないですが。
-----
...と、言うよ
Re:もう当たり前のように使われてるんじゃないか (スコア:3, 参考になる)
そのためにSSLの証明書はブラウザとともに配布されている訳でしょう
また各証明書発行団体の検証は配布側の企業・団体に委任されていると見て良いでしょう。
Microsoftだと詳細は不明ですが、こんな感じのようです [microsoft.com]
それは、秘密キーの管理の確認であったり、発行先の身元の確認方法で有ったりするわけです。
そしてユーザーはその配布団体を信用するかどうによって同時に配布されている証明書を信用するかどうかと言う事になります
そしてそのブラウザを使用して、配布された証明
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
> そのためにSSLの証明書はブラウザとともに配布されている訳でしょう
一行目は正しいです。しかし「そのため」以降は、一行目の論理的帰結になっていませんね。
SSLで証明書を配布し、別途フィンガープリントを配布する手段を考えてもいいわけですから。
> ユーザーはその配布団体を信用するか
は、どうやって検証されていますか?配布経路も問題になりますが。
それと比べて、自己署名証明書とフィンガープリントの公告、という手段は、
どのくらい安全だといえますか?
> 配布元が責任をもてる
では、マイクロソフトは、どういう責任を取ってくれるのでしょうか?
#証明書の「発行」とブラウザ・OSに証明書を添付して「配布」。
#この使い分けでいいですよね?
Re:もう当たり前のように使われてるんじゃないか (スコア:2)
>どのくらい安全だといえますか?
フィンガープリントはあくまで流通の正常性を証明するものですね。逆に言えばソフトMD5だったりするわけです
発行者が信用できないのであれば双方とも安全ではないでしょう
発行者や流通が信用できるものであれば、双方は信用できる元となります
それに私はフィンガープリントで確認した証明書が安全ではないといっている訳ではありません
フィンガープリントで確認することが不可能な人、また確認しようとしない人にとっては、自己証明はオレオレ証明書でしかないのです。
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
言ってることは解るんですが…
立場が違えば、適当・不適当の判断も変わって当然です。
> まぁ、信用できる人だけがつかっているのでしょう
> ただし、信用度は自己証明より実績面で上だと判断する人が多いのは確かだと思います
つまり、そういうことですよね。
適当・不適当は、立場によって変わるのであって、
「不適当でしかない」といえる性質のものじゃないと思います。
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
アクセス規制していないWebでこれをやると言うことはつまりインターネットにアクセスしてSSLのWebを見る人は、
フィンガープリントが提供されているホームページにアクセスする場合は、データーを送付する前に、まずフィンガープリントを取り寄せて確認しその後にデーターを送信する操作をする人だけが使っていると言う保証があるって事でいいですか?
そしてそのWebを使って情報を提供したい人にはフィンガープリントを別ルートで配布する環境がインターネットに接続可能な世界全地域に対して提供されていると言うことでしょうか?
極端ですが、公開サーバーって言うのはそう言う事でしょう、すべての情報提供者がそれをやってくれるのであれば、問題はないんでしょうけどねぇ~
そうすればrootCAなんて仕組みは必要ないかもしれません
ただし、厳密に実行するにはものすごくコストはかかりそうですが(苦笑)
なので「インターネットでアクセス制限がなく公開する」という状況においてはやはり不適当でしかないと思いますよ
むろん、上記作業をちゃんとやってくれる人以外をすべて無視して良いのであれば確かに適当なのかもしれませんが
しかし、サーバーの評価と言うのはあくまでアクセス出来る全対象を考慮して行われる物でしょう
故に世間的にはオレオレ証明書を使用したサーバーと評価されてしまうわけです
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
いけません。
例えば、フィンガープリントを元に正当性を確認しない人に対しては、責任を負わない、
という立場も考えられます。
正当性を確認せずに送ってもいいけど、その場合は騙されても知らんよ、ってことですね。
Re:もう当たり前のように使われてるんじゃないか (スコア:0)
Re:もう当たり前のように使われてるんじゃないか (スコア:0)