アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
厳密には (スコア:5, すばらしい洞察)
に加えて、CP/CPSを吟味する、ってのも必要ですな。
例えば、GPKIのブリッジ認証局CP/CPS [gpki.go.jp]。
オレオレ証明書は無条件に信用しない、と言うのではなく、
フィンガープリントなどを何らかの方法で確認できない限り、
信用しない、ってのが本来あるべき姿かも。
Re:厳密には (スコア:0)
フィンガープリントなんて見る必要ないでしょ?
ていうか、見ても無駄だし。
だいたい、どうやってフィンガープリントを正しく確認するのさ。
Re:厳密には (スコア:2, 参考になる)
> フィンガープリントなんて見る必要ないでしょ?
ブラウザベンダをそこまで信頼していいのか、と言う問題はさておき。
私は、「最初から入っているルート証明書」については、
フィンガープリントを確認せよ、と言っているのではなくて、
自前のCAを立てて、自前のサーバ証明書で運用している(つまり、オレオレ)
ようなケースについては、フィンガープリントを確認せよ、と言っています。
> だいたい、どうやってフィンガープリントを正しく確認するのさ。
RFC3280 [rfc-editor.org]に言う、
`some trustworthy out-of-band procedure'ってヤツですよ。
例えば、複数の官報に印刷されているフィンガープリントで確認するとか。
Re:厳密には (スコア:0)
GPKIは官報があるけど、LGPKIは確認のしようがない罠
Re:厳密には (スコア:2, 参考になる)
> GPKIは官報があるけど、LGPKIは確認のしようがない罠
ケース・バイ・ケースですから。
ここ [lgpki.jp]でも述べられている通り、
複数の地方公共団体 [lgpki.jp]に、
trustworthy out-of-bandな方法で確認する、
ってのが一つの解じゃないでしょうか。
ダメだダメだってばっかり言ってないで、
できる方法を少しは考えてみようよ。