アカウント名:
パスワード:
他でも書きましたが、AT YOUR OWN RISKが基本なら、デフォルトの信頼済みCAリストは空であるべきです。
一般ユーザーにもわかる電子商取引に使えるCAを見分ける手段として「信頼済みCAリスト」提供されているものと思ってたんですが、なんか上記のACさんたちの主張ではそうじゃないようで。 そうすると一般ユーザーは電子商取引ができないんですよね。
デジタル証明書は経路を保証するという時点で思考停止してる方が非常に多くて……。
一般ユーザーにもわかる電子商取引に使えるCAを見分ける手段として「信頼済みCAリスト」提供されているものと思ってたんですが、
#なんだかなぁ……。
「信頼済みCAリストの中にフィッシング詐欺URLに証明書を発行するCAが混じっている」という点だということは認識されていますか?
信頼できるCAというのは、ドメイン所有者にしかそのドメイン用の証明書を発行しないことですよ。この手続きでミスを犯すCAだけが、「信頼できないCA」であり、ルートからはずすべきCAです。
そのドメイン所有者が、犯罪者であっても、関係ありません。
「犯罪者に証明書を発行するようなCAは「信頼」できない」とあなたは思っているのかもしれませんが、それはあなたが勝手に思っているだけで、PKIの常識ではありません。
ルート証明機関とやらが信用できると思い込んでる人にとってだけね。 所詮、誰かが認めたナニカに過ぎないでしょ。
さらに言えば、行政機関も信用ならないし、国家も信用ならない。公海上に住居を移したほうがいいのでは?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
大いなる勘違い (スコア:4, 参考になる)
業界の構造をご存じないようですが、SSLの証明書(暗号化の保証)とそのサイトを運営する企業の実在証明は別の機能です。
批判の対象となっている EquifaxのSSLサービスは現在ではGeotrustがサービスしていますが、 [geotrust.co.jp] GeoTrustのサイト [geotrust.co.jp]を覗いてみると「クイックSSLプレミアム」というサービスはSSL暗号化には対応していますが、企業実在証明には対応しておらず、その機能は「トゥルーサイト」というサービスが
Re:大いなる勘違い (スコア:1)
そんな証明書をroot証明書に含めないでもらいたいものです。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:大いなる勘違い (スコア:2, 興味深い)
どこそこのCAは信頼できないから注意しろ。というのはご自由ですが、
どこそこのCAは信頼できないから排除しろ。と言ったりそういうプログラムを配布したり(仮定の話です)するのはちょっと行きすぎだと思いますよ。
CAのroot証明者にどの程度の信頼性を持つかという重み付けは最終的には個人の判断に委ねる。と言うのが現在のCAのモデルであり、
必要なのはCAを認証する我々個人がそのCAが信頼できるかどうか判断するための客観的な情報と正確な知識の普及では無いかと思いますけど。
# 悪人は裏を掻くのが得意なんですから、機械に依存していては寝首掻かれると思いますか…
Re:大いなる勘違い (スコア:1)
デフォルトで信頼済みにするなら電子商取引において信頼できるという保証がないとセキュリティホールになってしまいます。
他でも書きましたが、AT YOUR OWN RISKが基本なら、デフォルトの信頼済みCAリストは空であるべきです。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:大いなる勘違い (スコア:0)
その必要は有りません。リストから自由に削除(or無効化)できれば十分です。
ユーザが「信頼できない機関の証明書だな」と判断したら削除なりなんなりすればいい。
あなたの他のコメントや日記を見ましたが、何でもかんでも All or Nothing なんですね。
「デジタル証明書を電子商取引に使っちゃいかんとうことか」とか。
電子商取引に使えるデジタル証明書もある、というだけの事なのに。
Re:大いなる勘違い (スコア:1)
初期の信頼済みCAリストには接続先の社会的信頼まで調査しているところに限るべきだといってるんですが「CAの仕事は信用調査ではない」の一点張り。(一部のACさんだけだと思いますが、えてしてそういう人がいちばん声が大きいんですよ)
一般ユーザーにもわかる電子商取引に使えるCAを見分ける手段として「信頼済みCAリスト」提供されているものと思ってたんですが、なんか上記のACさんたちの主張ではそうじゃないようで。
そうすると一般ユーザーは電子商取引ができないんですよね。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:大いなる勘違い (スコア:0)
そうでなければ、信頼できない組織であっても「信頼できるかどうか
わからない」という評価しかできません。
相手を認証することと、認証された相手を承認することは次元が異なります。
Re:大いなる勘違い (スコア:0)
akiraaniさんは現状を「信用調査しているところに限られているはず」と認識してるようですが、その根拠は?
>そうすると一般ユーザーは電子商取引ができないんですよね。
また「できない」とか決め付ける。A/Nはやめなさいって。
危険があるだけで、できなくはない。それを以って「at your own risk」と言われてるんですよ。
お、もしや「電子商取引に使えるCAだけが提供されていないと、一般ユーザーは電子商取引ができない」から「電子商取引に使える物だけが提供されているはずだ」と思ってますか?
Re:大いなる勘違い (スコア:0)
Re:大いなる勘違い (スコア:0)
Re:大いなる勘違い (スコア:1)
でないとすれば何か勘違いされているようです。一連のツリーで問題にしているのは「信頼済みCAリストの中にフィッシング詐欺URLに証明書を発行するCAが混じっている」という点だということは認識されていますか?
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:大いなる勘違い (スコア:1)
もういい加減言い飽きたんですが、自分でリスクが判断できるなら「デフォルトで信頼済みリストに追加されているCA」なんて必要ないでしょう?
初期状態で信頼されているということは大多数の一般ユーザーに対しても信用できることが保証されている必要があるんじゃないですか?
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:大いなる勘違い (スコア:0)
で、改めて伺いますが
akiraaniさんは現状を「デフォルトで信頼済みリストに追加されているCAは信用調査しているところに限られているはず」と認識してるようですが、その根拠は?
>なんて必要ないでしょう?
必要とは一言も言ってませんので、言い飽きるほど言わなくても大丈夫です。
>初期状態で信頼されているということは大多数の一般ユーザーに対しても信用できることが保証されている必要があるんじゃないですか?
あると思いますよ。
例えばWindowsで言えば、(MSを信用するなら)保証されていると考えていいでしょう。商取引云々は抜きにして、ですが。
Re:大いなる勘違い (スコア:1)
#なんだかなぁ……。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:大いなる勘違い (スコア:0)
信頼できるCAというのは、ドメイン所有者にしかそのドメイン用の証明書を発行しないことですよ。この手続きでミスを犯すCAだけが、「信頼できないCA」であり、ルートからはずすべきCAです。
そのドメイン所有者が、犯罪者であっても、関係ありません。
「犯罪者に証明書を発行するようなCAは「信頼」できない」とあなたは思っているのかもしれませんが、それはあなたが勝手に思っているだけで、PKIの常識ではありません。
Re:大いなる勘違い (スコア:0)
それで片付けるのであれば、証明書だっていらないし、CAだって存在価値がないよ。
少しでもriskを軽減するために、証明書の価値をもっと高めるために、どうするかって話でしょ。
>「社会的信用についての証明はいらないが身元証明は欲しい」
身元保証になってると思い込んでる人にしか意味がないですがね。
Re:大いなる勘違い (スコア:0)
--
CA やサーバ証明書の役割を勝手に勘違いしておいて「なんだかなぁ」もないもんだと思う
Re:大いなる勘違い (スコア:0)
間違い。
>身元保証になってると思い込んでる人にしか意味がないですがね。
身元は無理だね。
でもルート証明機関がユニークに特定する人と同定できる事には意味が有るでしょ。ていうか元コメント読んだらそれくらい思いつかないか普通。
Re:大いなる勘違い (スコア:0)
それすらも「at your own risk」
あってようが間違ってようが意味無いよ。
Re:大いなる勘違い (スコア:0)
ルート証明機関とやらが信用できると思い込んでる人にとってだけね。
所詮、誰かが認めたナニカに過ぎないでしょ。
Re:大いなる勘違い (スコア:0)
さらに言えば、行政機関も信用ならないし、国家も信用ならない。公海上に住居を移したほうがいいのでは?
Re:大いなる勘違い (スコア:0)
じゃあ社会的信用の審査なんてなおさら無意味、という結論ね。なるほど
Re:大いなる勘違い (スコア:0)
何より直感的でコンピューター不得手の人にも納得できる。窓口からもらったフィンガープリントを自分の手で入力し、それと一致していれば正しいとみなす。
フィンガープリントソリューションを無視するのは、セキュリティ屋の陰謀じゃないかと疑ってしまいます。