パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「本物の」サーバ証明書を持つフィッシングサイト」記事へのコメント

  • え? (スコア:3, すばらしい洞察)

    by Anonymous Coward
    証明書持ってる所は皆信用の置ける所だと思ってたわけ?
    あんなん、カード1枚あれば簡単に取れるじゃん

    # 今更こんな事言われてるのを見て逆に驚く
    • Re:え? (スコア:2, 興味深い)

      by Anonymous Coward on 2006年02月15日 13時59分 (#883921)
      私のイメージだと、CAは証明書発行する前に、その組織などの身元を確認してから発行するものだと思ってました。ベリサインに発行依頼したとき、提出書類に会社の登記みたいのが必要だった。しかも、申請後に責任者に対して電話での認証・確認があったぞ。

      発行した後の用途に関しては関与しない(サーバで悪事をしても関係ない)ですが、悪事を働いたら身元がはっきりわかる・・・
      だからCAから発行してもらう電子証明書を使っては悪事ができない、または、悪事を働いても足が着くということでしたよね?

      っていうか、こういう運営をしてくれないと、身元の証明をしてくれるはずの電子証明書(これが認証ですよね?)が、単なる電子データに化する。

      今回の件で話題になっている認証局・・・何を認証してくれるのだ?何も認証してないなら「認証」局ではないぞ。
      親コメント
      • Re:え? (スコア:5, おもしろおかしい)

        by Anonymous Coward on 2006年02月15日 14時12分 (#883930)
        接続したサイトが本物のフィッシングサイトかどうかを認証しています。
        親コメント
      • Re:え? (スコア:3, 参考になる)

        by Anonymous Coward on 2006年02月15日 15時19分 (#883980)
        信頼できる企業であることを証明する為に企業を証明する資料の提出を求められるわけではありません
        そもそも認証は暗号化が偽装されないようにURLと暗号鍵の一致を認証しているだけですから
        申請する時に資料を提出するのは、そもそもの登録が嘘でない事を宣言する為であり、審査ではありません

        それに、法人の登記自体はヤクザでも何でも可能ですし、既に最低資本金も撤廃されて企業法人であっても怪しいのが乱立してます
        登記自体も記載されている住所や電話番号なんて自由自在です
        “登記してある住所に行ってみたら建物自体が存在してない”なんてことはザラですよ
        (4階建ビルの5階に入居とか、そもそも番地が無いやつとか色々です)

        電話だって、そういった仮想事務所の電話番やってくれる会社があったりしますしね
        親コメント
        • Re:え? (スコア:1, 興味深い)

          by Anonymous Coward on 2006年02月15日 16時25分 (#884027)
          > 信頼できる企業であることを証明する為に企業を
          > 証明する資料の提出を求められるわけではありません
          その通りだが・・・ただ、法的に存在する組織である
          こと(信頼できる組織ではない)を
          証明することが目的としてるのではないですか?

          > そもそも認証は暗号化が偽装されないようにURLと
          > 暗号鍵の一致を認証しているだけですから

          「暗号化が偽造」って意味不明なのですが・・・FQDNの偽造または暗号鍵の偽造のことかな?それはPGPでも
          同じじゃなかったけ?
          SSL、S/MIMEなどのPKIでの証明書はあくまで、
          第三者認証が入るから信頼性が高まるモデル
          だったはず。

          > 申請する時に資料を提出するのは、そもそもの登録
          > が嘘でない事を宣言する為であり、審査ではありま
          > せん。
          「宣言」というようり、「確認」じゃない?

          > 登記自体も記載されている住所や電話番号なんて
          > 自由自在です
          >“登記してある住所に行ってみたら建物自体が存在
          > してない”なんてことはザラですよ
          >(4階建ビルの5階に入居とか、そもそも番地が無
          > いやつとか色々です)

          > 電話だって、そういった仮想事務所の電話番やって
          > くれる会社があったりしますしね

          認証局が運用で行っている狙い・目的はあくまで
          「書類により組織・個人の存在性を法的に証明する」
          ものであると思うのだけど、違うのかな?

          法的運用の弱点をついてだますことは可能だっていう
          のは、論点からずれると思うのですが。
          法的証明なんてこの程度ってわかるだけ。

          こんなこと言ってたら、サーバ証明書の発行だけの
          問題じゃなくなる。
          会社で厚生年金に加入するのも保険に入るのも
          借金するのも、ほとんどが登記簿を証明書(申請時
          の書類の1部)としているかと思ったんだけど。
          間違っていたらすみません。
          親コメント
          • by Anonymous Coward
            法的に存在する組織である こと(信頼できる組織ではない)を 証明することが目的
            じゃないね。
            そもそも認証は暗号化が偽装されないようにURLと暗号鍵の一致を認証しているだけですから
            が正解。
            • Re:え? (スコア:1, すばらしい洞察)

              by Anonymous Coward on 2006年02月16日 9時38分 (#884418)
              >> 法的に存在する組織であること(信頼できる組織ではない)を証明することが目的
              >じゃないね。
              > そもそも認証は暗号化が偽装されないようにURLと暗号鍵の一致を認証しているだけですから

              このレスの親の意図はあくまで、サーバ証明書の発行前の書類を提出させることの目的のことを言っている。
              サーバ証明書を持っていることの目的のことを言っているわけではない。

              後半の部分は間違え。前の方が言っているように「暗号化が偽造」は意味不明
              「暗号化が偽造」==>「暗号鍵が偽造」が正解

              で、CAからの証明書は、「この暗号鍵は確かにお前の暗号鍵だ」とことをCAが認証している。

              議論になっているところは、「この暗号鍵は確かに『お前』の暗号鍵だ」の『お前』を、CAが証明書発行前にどのレベルで確認・認証するのかってこと。
              これが、メールだったり、登記だったり様々・・・

              今回の件は、CA側の『お前』の確認・認証レベルが低いことが問題になってるってこと。

              ただ、『お前』の確認・認証というのを、『お前』の信頼性(お金とか業務の信頼性、支払い能力とか)というように勘違いしている人もいるってこと。

              『お前』の確認・認証の目的はあくまで、『お前』は確かに存在し、『お前』の存在情報(会社名とか個人情報とか)が間違っていないか・・・ということを確認・認証すること。

              ということじゃなかろうか?整理しきれたかな?
              親コメント
              • by Anonymous Coward
                > 「暗号化が偽造」==>「暗号鍵が偽造」が正解
                >
                > で、CAからの証明書は、「この暗号鍵は確かにお前
                > の暗号鍵だ」とことをCAが認証している

                正確には間違い。

                「暗号鍵」==>「公開鍵」

                秘密鍵は数学で、この秘密鍵を持っていないとこの公開鍵は作れない(作るのは困難)という理論になっている。
                この理論で、公開鍵をCAが直接的に認証することで、秘密鍵も間接的に認証している・・・結果的にペアキー(公開鍵+秘密鍵)を認証している。
        • by kawaguchi (2700) on 2006年02月16日 22時30分 (#884883)
          >既に最低資本金も撤廃されて企業法人であっても怪しいのが乱立してます

          まだ撤廃されてないよ。
          今この時点で設立できる1円会社は経済産業省の資本金特例に基づく確認会社。

          最低資本金が撤廃される「会社法」はまだ施行されてない。
          親コメント
      • Re:え? (スコア:3, 参考になる)

        by arrabbiata (4524) on 2006年02月16日 1時01分 (#884323)
        何をもって身元確認とするかは登録局の運用ポリシー次第です。
        たとえばベリサインの個人認証だと3ランクあります

        • Class 1 メールが届くことで身元確認とする
        • Class 2 免許証など第三者データで身元確認する
        • Class 3 上記に加え、本人と面接

          当然、Class3証明書は取得費用が高いですが、信憑性も高いですし、Class1証明書はその逆です。
          証明書に含まれるデータの信憑性には差がある、ということを認証局はもっとアピールすべきですね。

        親コメント
      • Re:え? (スコア:1, おもしろおかしい)

        by Anonymous Coward on 2006年02月15日 16時45分 (#884034)
        ssl.livedoor.com

        粉飾も「認証」してください。

        # そろそろPKIの話題まだぁ?
        親コメント

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...