パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「本物の」サーバ証明書を持つフィッシングサイト」記事へのコメント

  • タレコミ者です.意外に沢山コメントがついてちょっと嬉しい:)

    私は「root CAは認証相手の素性を,リアルで追跡できる程度には調べてからサーバ証明書を認証する」=「追跡可能な足跡を残さずに金を稼いでとんずらしたいphisherは使わない」ものだと思ってましたが,そうではなくて「 信頼できるCAというのは、ドメイン所有者にしかそのドメイン用の証明書を発行しない [srad.jp]」=「https://www.example.com/は確実にwww.example.com(

    • by warudakumi (24294) on 2006年02月16日 18時57分 (#884808) 日記
      サーバー実在性や、事業者の実在性の確かさを高めるのなら、サーバー証明書に複数の Root CA が署名するような方法ってのは、ダメですかね。
      # PKI のことをよくわからずに書いてますが、Web of trust のよーな

      また、証明される内容がそれだけでは足りないというのなら、そのサーバー証明書を使って行われるサービスの正当性や安全性を高める(または高いと認識してもらう)方法が必要でしょう。事業の健全性とか、主体の信用度とか、観点の異なる審査を受けて、パスしたらそれぞれ合格証(格付け)を発行してもらう、というサービスはいくつかあると思いますが、それをサーバー証明書の中に盛り込んでもらう、ってのはどーでしょう。

      # 単なる思いつきですが
      親コメント

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...