アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
他者に内容を入れ替えられてしまうキーストアのルート証明書は信頼できるのか (スコア:1, 興味深い)
信頼できない点なわけで、そういう意味では
WindowsUpdateなどで運ばれてくるMicrosoft
が認証した証明書群に無条件でトラストアンカーを
設置してしまうというのも「なんだかな~」と
思ってしまいます。
とはいいつつも、エンドユーザが例えばベリサインの
CPShttp://www.verisign.co.jp/repository/CPS/ [verisign.co.jp]
なんて読まないのだから、それよりはずっとましなんでしょうが。
いい落としどころなんですかね?
皆さんはどうお考えですか。
Re:他者に内容を入れ替えられてしまうキーストアのルート証明書は信頼できるのか (スコア:0)
その通りです。まず、暗号化には全く問題はありません。
次に、相手が本物かどうかの認証(なりすまし詐称を防ぐこと)ですが、
自認証局による証明書と、比較的知られた第三者のルート認証局による証明書は、
どちらも、メリットでメリットがあります。
【自認証局による証明書】
・認証局の正当性を自分で確認する必要がある
・認証局の正当性さえ確認できていれば最も安全な認証方法
・自組織内や仲間グループ内などではこの認証局情報配布による利用がベスト
【第三者のルート認証局よる証明書】
・認証局の正当性の確認をブラウザ組み込みなどの形で依存する形になる
・第三者であるルート認証局の信頼性に依存する形になる
・不特定多数による利用ではこの第三者のルート認証局に依存する方法がベスト
このように、どちらが良い悪いではなく、メリットとでメリットがそれぞれあります。
「オレオレ証明書」という命名で前者を悪と決めつける人は、かなり問題があります。
Re:他者に内容を入れ替えられてしまうキーストアのルート証明書は信頼できるのか (スコア:0)
一口に暗号化といってもSSLではいろいろな暗号化が行われているわけで、あなたが「全く問題がない」とおっしゃるときの「暗号化」というのは、具体的にどの暗号化のことを言っていますか?
・プリマスタ シークレットを公開鍵で暗号化して送信するときの暗号化のこと?
・共通鍵であるセッションキーによる暗号化のこと?
> 暗号化には全く問題はありません。
SSL暗号化通信としては問題大有りなんですが、それでも「暗号化には全く問題ありません」と吹聴して、かまわないと思うのですか?
> 【自認証局による証明書】
> ・認証局の正当性さえ確認できていれば最も安全な認証方法
認証局の秘密鍵の管理がずさんで漏洩する危険性があっても、「最も安全」なのですか?
もっとも、サーバ証明書の秘密鍵も同様に漏洩リスクがります(元々ベリサインから買ってもそのリスクは同様に存在する)。しかし、サーバ証明書の秘密鍵が漏洩した場合は、そのサーバとの通信内容が盗まれるだけで自業自得にすぎません。それに対し、認証局の秘密鍵が漏れてしまった場合は、世界中のあらゆるHTTPSサイトとの通信に被害が出るのですよ。
認証局の秘密鍵が漏洩したとしても、使用範囲がその仲間内に閉じているから、運用上の責任問題が相殺されるだけであって、「最も安全」というのは間違いですね。
Re:他者に内容を入れ替えられてしまうキーストアのルート証明書は信頼できるのか (スコア:0)
・ルート認証局側でのリスク
・ルート認証局の秘密鍵の漏洩リスク
・各サイトのサーバ証明書を正しく発行しているかのリスク
・各サイト側でのリスク
・サーバ証明書の秘密鍵の漏洩リスク
という、この両者があります。一方。自己認証局による自己証明書の場合は、
・各サイト側でのリスク
・ルート認証局とサーバ証明書の秘密鍵の漏洩リスク
これだけになります。つまり、リスクだけ見れば、圧倒的に自己証明書が安全です。
自己認証局による自己証明書の不利な点は、
その自己認証局の正当性を、各ユーザが自分で確認する必要があるいう点のみです。
Re:他者に内容を入れ替えられてしまうキーストアのルート証明書は信頼できるのか (スコア:0)
馬鹿言うなよ。正しくはこうだ。
ベリサインなどの第三者によるルート認証局を用いた場合:
・ベリサインなど組み込み済みルート認証局側でのリスク
・ルート認証局の秘密鍵の漏洩リスク
・各サイトのサーバ証明書を正しく発行しているかのリスク
・各サイト側でのリスク
・サーバ証明書の秘密鍵の漏洩リスク
自己認証局による自己証明書の場合:
・ベリサインなど組み込み済みルート認証局側でのリスク
・ルート認証局の秘密鍵の漏洩リスク
・各サイトのサーバ証明書を正しく発行しているか