アカウント名:
パスワード:
おれおれ証明書って、もう当たり前のように使われてるんじゃないかと思うよ。あちこち使ってる感じじゃ。わざと言うより、経営側がコストけちってるとか、技術者が無知なのか。まぁ、前者だろうけど。技術への中途半端な理解が原因なのかなぁ。
#NetscapeでHotmailのSSL認証にアクセスすると証明書を認めてくれないんよね。セッション中だけ通すことで使ってるけど、あれも問題ある証明書なのかしらん。
同意します.すでに,「オレオレ証明書か否か」での単純な基準だけで安全性を判断してはダメ!という教育が必要な段階ではないかと思います.
以下,以前自分のblogのエントリ( 無償で正統的なコードサイニング証明書を入手する方法 [keio.ac.jp])で書いた内容ですが:
たとえば,
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
もう当たり前のように使われてるんじゃないか (スコア:0)
おれおれ証明書って、もう当たり前のように使われてるんじゃないかと思うよ。あちこち使ってる感じじゃ。わざと言うより、経営側がコストけちってるとか、技術者が無知なのか。まぁ、前者だろうけど。技術への中途半端な理解が原因なのかなぁ。
#NetscapeでHotmailのSSL認証にアクセスすると証明書を認めてくれないんよね。セッション中だけ通すことで使ってるけど、あれも問題ある証明書なのかしらん。
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
#そういうのはオレオレ証明書って言わないんでしょうか?
Re:もう当たり前のように使われてるんじゃないか (スコア:2, すばらしい洞察)
ただし、認証や、アクセス規制がかからず公開されているWebページで使用されている自己発行証明書はオレオレ証明書扱いでしょう
認証等で制限され、使用者すべてに自己証明書等が配布されている
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
> それを該当ルートで入手してない人にとってはオレオレ証明書と変わらない訳だし、
素朴な疑問として、ダウンロードしてきたブラウザとか、
プレインストールさていたOSに最初から入っている証明書、というのは、
どういう扱いになるんでしょうか?
それを別途検証して使っているという人をあまり見たことがありませんが。
そういう意味では、そういうものもオレオレ証明書と変わらん、
と結論付けざるを得ないのではないでしょうか。
Re:もう当たり前のように使われてるんじゃないか (スコア:4, 参考になる)
> プレインストールさていたOSに最初から入っている証明書、というのは、
> どういう扱いになるんでしょうか?
> それを別途検証して使っているという人をあまり見たことがありませんが。
> そういう意味では、そういうものもオレオレ証明書と変わらん、
> と結論付けざるを得ないのではないでしょうか。
同意します.すでに,「オレオレ証明書か否か」での単純な基準だけで安全性を判断してはダメ!という教育が必要な段階ではないかと思います.
以下,以前自分のblogのエントリ( 無償で正統的なコードサイニング証明書を入手する方法 [keio.ac.jp])で書いた内容ですが:
たとえば,
Re:もう当たり前のように使われてるんじゃないか (スコア:0)
わざわざ設定を変えない限りWebサイトの偽装は見破れるのではないかと思うのですが、どうなのでしょうか。
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
すみません,ぼくの書き方が,ちょっと紛らわしかったかもしれませんね.FirefoxやWindowsの証明書ストアについては,大丈夫なのでしょう.ヤバいのはJavaです.Javaでは,最新のJava SE 6であっても,Java Control Panel のCertificatesの中の,Certificate type: Signer CAのリストの中に,"Thawte Personal Freemail CA"が含まれてしまっているのです…!
その結果,
> 本当に
> >「オレオレ証明書」としての警告が表示されない
ということになります.
http://sqs.cmr.sfc.keio.ac.jp/tdiary/?date=20051003#p02
に,画面ダンプを載せましたので,ご覧下さい.