パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「本物の」サーバ証明書を持つフィッシングサイト」記事へのコメント

  •  フィッシングサイトに証明書を発行してしまうようなサービスはいずれブラウザの初期インストールからはじかれてしまうような。
     そうなってしまえば、オレオレ証明書とかわらんわけで、そういうサービスを運営してるということ自体が信用商売なめてるとしか思えない。

     とりあえず、そういうところを見つけたらセキュリティホールの指摘として各ブラウザベンダに通報するのがよいかと。

    --
    しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
    • 登記簿やらで実在性を確認せず、メールの到達性だけで実存性があるとみなしてサーバ証明書を発行することには、今回のような違法性のあるものではない、(適法な)ニーズがあります。

      (1)実在性を確認するには費用がかかるため、サーバ証明書の発行費用が格段にあがり、零細企業が証明書を取得するのが困難になる。

      (2)登記の必要のない個人やその他任意団体が証明書を取得するのが不可能になる。

      そんなわけで、そういうCA自身も、そのCAを信頼済みCAリストに突っ込むブラウザベンダも、一概に悪者扱いはできません。最終的な信用点は利用者自身が決定するものです。理想論ですし、難しいことではありますが。
      • >最終的な信用点は利用者自身が決定するもの

         これが真なら、初期状態で信用されている必要がまったく感じられません。信頼済みCAリストは最初は空であるべきです。

        --
        しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
        • > 信頼済みCAリストは最初は空であるべきです。

          理想論から言えば、その通りです。
          しかしご存じの通り、利便性とセキュリティは概ね背反します。信頼済みCAリストというのは、ブラウザ(OS)ベンダが考える利便性とセキュリティの平衡点というところでしょう。
          親コメント
          • >しかしご存じの通り、利便性とセキュリティは概ね背反します。信頼済みCAリストというのは、ブラウザ(OS)ベンダが考える利便性とセキュリティの平衡点というところでしょう。

            CAリストをOS(仮にWindowsXPとして)同梱って他の大抵の方法よりも便利かつ安全にルート証明書を取得できる手段だと思うんですが。

            それより安全って、ベリサインの本社ビルに行ってROMメディアで手渡ししてもらうとか?現実的とは思えませんが…

            あ、小売店で証明書が入ったCD-ROM(ラベルに視認できる特殊加工を施して)を販売するとかか。これは現実的なのかどうか良く分からない。ただ間違いなく認証の料金は高くなりそうだ。

ソースを見ろ -- ある4桁UID

処理中...