アカウント名:
パスワード:
> フィンガープリントが信頼できるなら普通ブラウザに最初から入ってます。
フィンガープリントが信頼できるなら独自CAでも信頼できるよね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
重要なのはフィンガープリント (スコア:2, すばらしい洞察)
というタレコミの文を見ていると 独自CA = 信頼できない という図式が脳内に成り立っているように思えます.
独自CAにしろそうでないにしろ,重要なのはフィンガープリントですよね.
旅に出ます.(バグを)探さないで下さい.
Re:重要なのはフィンガープリント (スコア:0)
フィンガープリントはすりかえられていないかどうかを確認できるだけで、その独自CAの信頼性を判断する役には立ちません。フィンガープリントが正しくても、証明書の発行審査が適当だったり、鍵の管理がいい加減だったらやはり信用できません。
本来は、ブラウザにプリインストールされている証明書はユーザがその信頼性をひとつひとつ確認して、納得した上で使用しなくてはなりません。たいていはそんなことはできないので、ブラウザの供給元の判断を信用して使用しているだけです。
プリインストールされていないオレオレ証明書の場合はユーザ自身で判断しなくてはならないわけですが、フィンガープリントだけではその判断を下すには情報が不十分すぎます。
Re:重要なのはフィンガープリント (スコア:1)
フィンガープリントが信頼できるなら独自CAでも信頼できるよね,といいたいだけです.
旅に出ます.(バグを)探さないで下さい.
Re:重要なのはフィンガープリント (スコア:0)
普通ブラウザに最初から入ってます。
Re:重要なのはフィンガープリント (スコア:1, すばらしい洞察)
独自CAのフィンガープリントが?
勝手に後半部分を切らないでくださいよ。
Re:重要なのはフィンガープリント (スコア:0)
>フィンガープリントが信頼できるなら独自CAでも信頼できるよね,といいたいだけです
そもそも、ここが間違っています。
フィンガープリントで確認できるのは同一性だけであって、たとえば秘密鍵が流出していないことや、手当たりしだいに信用できない対象にまで証明書を発行していないことなどを確認することはできません。
たとえば、CAの秘密鍵の管理がいい加減で外部に流出していたとします。
誰かが、その秘密鍵を使って新たにサーバの証明書を作成してフィッシングサイトを作ったとします。
この場合、CAの証明書は同じものですからいくらフィンガープリントを確認したって無意味です。
その独自CAの証明書をブラウザにインストールしてしまったりしていたら、フィッシングサイトでも全く無警告でアクセスするようになります。
Re:重要なのはフィンガープリント (スコア:1)
それでも,さすがに秘密鍵の流出などを考えるとフィンガープリントだけではどうしようもないですね.
旅に出ます.(バグを)探さないで下さい.
Re:重要なのはフィンガープリント (スコア:1)
不特定多数に対する責任を負うには経費がかかりすぎるので
それなりの認証局に発行依頼した方がコストがかからないって事になります
公開鍵の流通ルート/確認の為のフィンガープリントの流通ルート/各鍵管理を含めて保証するのは大規模になればなるほど一苦労です
フィンガープリントにしても、偽の証明書と偽のフィンガープリントがペアで出回ったら終了になりますからねぇ