パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「本物の」サーバ証明書を持つフィッシングサイト」記事へのコメント

  • 大いなる勘違い (スコア:4, 参考になる)

    by Anonymous Coward
    > 今回問題のサーバ証明書を発行したのは Equifax社。サーバ証明書の認証の際に発行対象の身元を正しく確認していなかったというあたり、証明書発行者としての資質を疑わざるを得ません。

    業界の構造をご存じないようですが、SSLの証明書(暗号化の保証)とそのサイトを運営する企業の実在証明は別の機能です。

    批判の対象となっている EquifaxのSSLサービスは現在ではGeotrustがサービスしていますが、 [geotrust.co.jp] GeoTrustのサイト [geotrust.co.jp]を覗いてみると「クイックSSLプレミアム」というサービスはSSL暗号化には対応していますが、企業実在証明には対応しておらず、その機能は「トゥルーサイト」というサービスが
    • それじゃあ電子商取引には使えないですなぁ。
      そんな証明書をroot証明書に含めないでもらいたいものです。
      --
      しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
      • 今使われているCAのモデルを考えるとどう見ても「AT YOUR OWN RISK」な部分が大きい訳で、
        どこそこのCAは信頼できないから注意しろ。というのはご自由ですが、
        どこそこのCAは信頼できないから排除しろ。と言ったりそういうプログラムを配布したり(仮定の話です)するのはちょっと行きすぎだと思いますよ。

        CAのroot証明者にどの程度の信頼性を持つかという重み付けは最終的には個人の判断に委ねる。と言うのが現在のCAのモデルであり、
        必要なのはCAを認証する我々個人がそのCAが信頼できるかどうか判断するための客観的な情報と正確な知識の普及では無いかと思いますけど。

        # 悪人は裏を掻くのが得意なんですから、機械に依存していては寝首掻かれると思いますか…
        •  いや、排除しろとは言ってません。初期状態の信頼済みCAリストからはずせと言ってるだけです。
           デフォルトで信頼済みにするなら電子商取引において信頼できるという保証がないとセキュリティホールになってしまいます。

           他でも書きましたが、AT YOUR OWN RISKが基本なら、デフォルトの信頼済みCAリストは空であるべきです。

          --
          しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
          • by Anonymous Coward
            >AT YOUR OWN RISKが基本なら、デフォルトの信頼済みCAリストは空であるべきです。

            その必要は有りません。リストから自由に削除(or無効化)できれば十分です。
            ユーザが「信頼できない機関の証明書だな」と判断したら削除なりなんなりすればいい。

            あなたの他のコメントや日記を見ましたが、何でもかんでも All or Nothing なんですね。
            「デジタル証明書を電子商取引に使っちゃいかんとうことか」とか。
            電子商取引に使えるデジタル証明書もある、というだけの事なのに。
            •  いやー、なんかご意見伺ってるとデジタル証明書は経路を保証するという時点で思考停止してる方が非常に多くて……。
               初期の信頼済みCAリストには接続先の社会的信頼まで調査しているところに限るべきだといってるんですが「CAの仕事は信用調査ではない」の一点張り。(一部のACさんだけだと思いますが、えてしてそういう人がいちばん声が大きいんですよ)

               一般ユーザーにもわかる電子商取引に使えるCAを見分ける手段として「信頼済みCAリスト」提供されているものと思ってたんですが、なんか上記のACさんたちの主張ではそうじゃないようで。
               そうすると一般ユーザーは電子商取引ができないんですよね。

              --
              しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
              • by Anonymous Coward
                信頼できない組織を「信頼できない」と断言するためにも証明書は有効です。
                そうでなければ、信頼できない組織であっても「信頼できるかどうか
                わからない」という評価しかできません。
                相手を認証することと、認証された相手を承認することは次元が異なります。
              •  信頼できるかどうかわからない証明書を発行するCAは信頼済みにするのが正しいというご意見でしょうか?
                 でないとすれば何か勘違いされているようです。一連のツリーで問題にしているのは「信頼済みCAリストの中にフィッシング詐欺URLに証明書を発行するCAが混じっている」という点だということは認識されていますか?
                --
                しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
              • by Anonymous Coward on 2006年02月16日 13時02分 (#884608)
                別ACですが、
                「信頼済みCAリストの中にフィッシング詐欺URLに証明書を発行するCAが混じっている」という点だということは認識されていますか?
                だから、「信頼」って何?

                信頼できるCAというのは、ドメイン所有者にしかそのドメイン用の証明書を発行しないことですよ。この手続きでミスを犯すCAだけが、「信頼できないCA」であり、ルートからはずすべきCAです。

                そのドメイン所有者が、犯罪者であっても、関係ありません。

                「犯罪者に証明書を発行するようなCAは「信頼」できない」とあなたは思っているのかもしれませんが、それはあなたが勝手に思っているだけで、PKIの常識ではありません。

                親コメント

ソースを見ろ -- ある4桁UID

処理中...