アカウント名:
パスワード:
証明書をすりかえられているかの確認はリスクですけど相手は自宅鯖なのでその辺はよしなに
無論ですがフィンガープリントはネットで公開されていないことが条件です
ネットで公開して、ネットで公開してるので確認してるからOKと思わせる隙がある時点で運用としてダメでしょう
他の流通経路で補うというのであれば、それは詭弁です確認を得るために、わざわざ他の流通経路で配布された物を参照しなければいけないのであれば、フィンガープリントをネットに置く意味はありません、直接フィンガープリントを発行者が確認できる配布経路で配布すればよいのです。
それは私の立場とは違います。どの配布経路を採ろうとも、おそらく完全と言うことはありません。OS組み込みにしても、ネットで配布にしてもそれは同じことです。だから私は、フィンガープリントを複数の経路で配布し
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
一般人におけるSSLの意味 (スコア:1, すばらしい洞察)
発行元が証明されているとか、中身が改竄されてないことを証明するってところは
あまり知られてないということ。
あまり知られてない理由に「重要なファクタについての啓蒙をしてこなかった」というのはあるけどね。
それをできるのは知ってる我々の役目でもあるということも肝に銘じておかねば。
Re:一般人におけるSSLの意味 (スコア:1, すばらしい洞察)
> 通信路が暗号化されている、くらいの認識しかないってことだね。
通信路も正しく暗号化されていないというのが正しい理解です。
> 発行元が証明されているとか、中身が改竄されてないことを証明するってところは
> あまり知られてないということ。
そういう話ではありません。
Re:一般人におけるSSLの意味 (スコア:0)
Re:一般人におけるSSLの意味 (スコア:0)
それが本当に確認できて
> 自宅鯖のSSLサイトにアクセスしようとした時にブラウザが出す証明書
が自分と自宅の間にいる他の誰かがすりかえた証明書ではないことまで証明できればそのとおりです。
Re:一般人におけるSSLの意味 (スコア:0)
到達できているかあるいは証明書をすりかえられているかの確認はリスクですけど相手は自宅鯖なのでその辺はよしなにと言う運用はアリだと。
#証明書についての正しい認識が広まってくれると、オレオレ証明書の自宅鯖SSLサイトを
#訪れた人は門前で引き返してくれるから期せずして来る人が少なくなってうれしいかも。
Re:一般人におけるSSLの意味 (スコア:2, すばらしい洞察)
Re:一般人におけるSSLの意味 (スコア:1)
無論ですがフィンガープリントはネットで公開されていないことが条件です
フィンガープリントまで詐称されたら意味が無い
あと文書等でこれらを配布した場合、たしかに発行者が出したものと証明できないと
意味がありません
配布経路等も気にする必要があるでしょう、フィンガープリントとURLを記載した
偽物の文書が出回ったら意味が無いわけです
自己証明書は「自分で使うか」「証明書発行者本人の発行物であると言う証明と
信頼の置ける流通経路を使って配布した場合場合」にしか使えないと考えています
各種証明書発行機関は証明書が確かに本人の物であると言う確認行為を代行しているに
過ぎないわけですから自らそれを行えるのなら自己証明書も有効って事になります
この銀行の件は明らかにそれを無視して居るのは言うまでもありません
銀行の窓口で自己証明書の入ったCDでも手渡ししてるなら使えるとは思いますが...
Re:一般人におけるSSLの意味 (スコア:1)
理想的には、できるだけ多くの手段で公開されていることが望ましいです。多くの手段で公開しておくのは、確認手段を増やすことで、偽装・詐称を難しくするためです。
なんにせよ、唯一の手段のみで偽装・詐称を完全に防ぐのは困難です(これは、実はオレオレ証明書でなくてブラウザ組み込みの証明書でも同じことですが)から、いろんな方法を使って信頼性を上げていくのが有効だと思います。
Re:一般人におけるSSLの意味 (スコア:1)
運用としてダメでしょう
ほとんどというか、詐称で無いことが確認できない以上、確実に無意味であり
知らない人はそれでOKと思ってしまう罠となりますから悪質です
(詐称というのはわざわざコードを生成するのではなく、公開サイト毎
さもその機関が作成したように見せかけておいておくって事です
判っていると思いますが念のため)
さらに運営側に対してもネットで公開しているからOKなんていう勘違いを起こさせる
罠でもあります
フィンガープリント等は信用できる詐称できないルートで配布しなけれ
Re:一般人におけるSSLの意味 (スコア:1)
でも、その立場に立つならば、ネットで配布されているブラウザに組み込まれているCA証明書も信用できないと結論付けざるを得ないじゃないでしょうか。
Windows上でMSの署名つきブラウザパッケージなら信用する、って運用はありうるとは思いますが、それはそれで問題だと思います。
そう考えるとやはり、正しいPKIの運用を啓蒙するのが正しいと思います。
Re:一般人におけるSSLの意味 (スコア:1)
そしてMSをその確認手順を審査し基準にパスしたものに対しブラウザに登録し配布します
これはPKIの基本的な配布手順のひとつですから言われなくても判っているでしょう
先ずは、現行のブラウザやOS付属の証明書配布はあくまで完全ではなく、
最良レベルでのものであると言うことを言っておきます
本当に完全を求めるなら、CAの証明書はブラウザからアンインストールした上で
各社に出向いて必要な公開証明書を自分で集めてくるしかないでしょう
各CAやMSは証明書の配布&確認作業の代行をしているに過ぎませ
Re:一般人におけるSSLの意味 (スコア:1)
それは私の立場とは違います。
どの配布経路を採ろうとも、おそらく完全と言うことはありません。OS組み込みにしても、ネットで配布にしてもそれは同じことです。
だから私は、フィンガープリントを複数の経路で配布し
Re:一般人におけるSSLの意味 (スコア:1)
補完に発信者の確認の出来ないネットを含める意味はなぜですか?
それだけしか確認しないで満足する人はどうやって防止しますか?
無論その他の方法も発信者が当人であると確認できるものだけだと思いますが
それは違う?
Re:一般人におけるSSLの意味 (スコア:1)
誤>それだけしか確認しないで満足する人はどうやって防止しますか?
正>それだけを確認して満足する人はどうやって防止しますか?