アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
認証はしているわけで… (スコア:4, 参考になる)
ITPro [nikkeibp.co.jp]によれば,本物がwww.mtnamerica.orgで,偽者がwww.mountain-america.netと別ドメインだったようです.
似たドメインであっても別のドメインである以上,これはもうしょうがないのでは?
QuickSSL は whois に書いてある所有者のメールアドレスに到達すれば確認されるので,Geotrustは確認自体を怠ったわけではないわけですし…
逆に有名サイトにドメイン名が似ているくらいで証明書の発行を拒否されるほうがよっぽど問題ではないのでしょうか?
Re:認証はしているわけで… (スコア:5, 参考になる)
売り掛けをしてくれるなど研究室単位でも購入しやすく結構便利です。
ただ確かに実在証明はありませんので、発行された証明書のOフィールド(組織名)にはCNに書かれたドメイン名がそのまま入っています。
問題点はよく言われるように証明書に記された組織の実在証明が行われているかどうかがユーザには分かり難い点だと思います。
現状ではOフィールドやOUフィールドに書かれている内容(しかも各社ポリシーがバラバラ)でどうにか区別できる状況です。
ウェブサーバwww.example.comに正しく接続されており盗聴は困難です。
ウェブサーバwww.example.comは〜株式会社によって所有されていることが〜inc. によって証明されています。
ウェブサーバwww.example.comに正しく接続されており盗聴は困難です。
(警告) ウェブサーバwww.example.comを所有する組織名は不明です。
逆に実在証明が無いこともきちんとユーザに警告されるようになれば、粗悪な証明書発行サービスも淘汰されるのではと思います(楽観的すぎ?)。
#IE7でオレオレ証明書なサイトに接続した時の警告はかなり良い感じですね
Re:認証はしているわけで… (スコア:2, すばらしい洞察)
具体的には、CPやCPS、運用実績などから総合的に判断するしかないと思いますが、
それはブラウザメーカの仕事なんでしょうか?
Re:認証はしているわけで… (スコア:2, すばらしい洞察)
あまり深くは考えたことは無いのですが、おそらくは認証機関とブラウザメーカーの共同作業になるのではないでしょうか。
現在ですと認証機関やサービスによって証明書が証明している内容の程度は色々な訳で、それを各ユーザがCP/CPSのPDFを読んで判断しろ、というのはあまりにユーザ側のコストが高すぎると思います。有意義に使われなくなってしまうかも。
例えば認証機関は協議して審査の基準とか最終的にユーザに提示する理解しやすい証明のセット(CNだけとか、Oも登記簿等で確認しましたよとか)を取り決める必要があると思います。
ブラウザメーカーもそれらの証明内容を明瞭に提示するインターフェイスを実装する必要がありますね。
Re:認証はしているわけで… (スコア:0)
Re:認証はしているわけで… (スコア:1)
#まあ、まともなDNではなさそうな気はするけど…
Re:認証はしているわけで… (スコア:0)
紛らわしいドメインの証明書を発行せざるを得ない仕組みも問題はあるけど。
Re:認証はしているわけで… (スコア:0)
PKIの証明書を発行するための確認が暗号化されていない通信路で行われている時点ですでに論外なんですが。
# メールにS/MIME署名でも義務付けているならまだしも
## S/MIME用の証明書も超簡単に手に入るわけだが
> 逆に有名サイトにドメイン名が似ているくらいで証明書の発行を拒否されるほうがよっぽど問題ではないのでしょうか?
もちろんそんな理由で拒否する必要はありません。ちゃんと審査してくれれば。
Re:認証はしているわけで… (スコア:2, 興味深い)
具体的にはどういう審査ですか?
QuickSSL的には、公開しているQuickSSLのCPS [geotrust.com](PDF注意)
にそった審査(確認)は、ちゃんと行っているようですが。
それを論外と捉えるか否かは、各Entityに任せられるべきでしょう。
CPSを読まないのは、論外と言えない事もないような、あるような…