アカウント名:
パスワード:
安全を自称する証明書はマイクロソフトに始まり、トレンドマイクロやシマンテックなどでも使われているのに
どういうことなのかは、以下のLarry Osterman氏のblogにまとまっています。
「オレオレ証明書」なるものと「プライベート認証局」はちがうでしょ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
問題点の説明が不十分 (スコア:0, すばらしい洞察)
デタラメ言うな (スコア:0, 参考になる)
Re:デタラメ言うな (スコア:1)
アプリを提供するときに、アップデートとかする場合を考えてルート証明機関としてアプリに公開鍵入れといて、SSLでパッチのハッシュ値のやり取りをしているみたいな話なんじゃ?
どこかの証明機関から認証貰っていたとしても、他の証明機関に乗り換えることもあるだろうし、証明機関が倒産することもある。
やっているかどうかは知らんが、不自然じゃない気がするけど。
それとも、マイクロソフトが初めではないって話か?
Re:デタラメ言うな (スコア:1, 参考になる)
あと、証明書というのは、あればそれだけでいろいろ証明してくれるわけではなくて、証明してくれる内容がちゃんと書いてあるよ。IEだと証明書の詳細ページのキー使用法あたりを読んでみて。
リモートコンピュータのID証明の話からどうしてここまで脱線するんだ?
Re:デタラメ言うな (スコア:1)
>CN = Microsoft Root Authority
>OU = Microsoft Corporation
>OU = Copyright (c) 1997 Microsoft Corp.
と
>CN = Microsoft Root Certificate Authority
>DC = microsoft
>DC = com
ってのがIEにあるけど、これ俺だけ?
Re:デタラメ言うな (スコア:1)
Windows Server 2003、Windows XP、および Windows 2000 に必要な信頼されたルート証明書
http://support.microsoft.com/default.aspx?scid=kb;ja;293781
に二つとも載っていた。
Re:デタラメ言うな (スコア:0)
発行先: eopen.microsoft.com
発行者: Microsoft Secure Server Authority
Re:デタラメ言うな (スコア:0)
それのルートは
GTE CyberTrust Global Root
になってるよ。
Re:デタラメ言うな (スコア:0)
しかし、その認証局のCPSやCPのページって見られます?
政府(go.jp)や自治体(lg.jp)がこんなことやったら、袋だたきにされるな(笑)
Re:デタラメ言うな (スコア:0)
件のサーバは一緒に送信すべき
https://www.microsoft.com/pki/mscorp/mswww(2).crt
https://www.microsoft.com/pki/mscorp/msssa1(2).crt
を証明書に含め忘れてるだけで、褒められたものではないけど、信頼できるルートで中間認証局の証明書を入手できないわけでもない。
Re:デタラメ言うな (スコア:4, 参考になる)
どういうことなのかは、以下のLarry Osterman氏のblogにまとまっています。
Re:デタラメ言うな (スコア:1)
例)厚生労働省(2005年前半時点)
MHLW ROOT CA:
OU = MHLW Root CA
OU = Ministry of Health, Labour, And Walfare
O = Japanese Goverment
C = JP
Fingerprint: 3F 57 59 11 92 28 84 ED 06 50 B3 A1 17 12 8A 5F B1 89 54 F0 (ミスタイプがあるかもしれない)
まともにやっている省庁ってあるんですか?
masamic
Re:デタラメ言うな (スコア:0)
信頼できるルートから官報にでもあたられては如何がかしらん。
Re:デタラメ言うな (スコア:0)
誰も知らないんじゃ意味がないわけで。
Re:デタラメ言うな (スコア:1)
まー、正規の認証局ツリーにぶら下げるのが最善とは思うが。
hoihoi-p 得意淡然、失意泰然。
Re:デタラメ言うな (スコア:1)
「プライベート認証局」自身の証明書は「オレオレ証明書」になるので、違いは無いと思います。
それとも「プライベート認証局」とはCA証明書をFDか何かで配布するものを指しているのでしょうか?
Re:デタラメ言うな (スコア:2, 参考になる)
Apachi なりに付いてくるスクリプトで証明書を発行すると、
ブラウザでは、「鍵の発行者が署名をしてる。」といって、
承認するか、セッション毎に「署名者の正統性」の確認を求められます。(サーバ鍵)
しかし、openSSL なりを使って、ユーザが鍵を発行し、其の鍵に、「プライベート認証局」の管理者が署名をすると、
ブラウザでは、「署名をした認証局を信頼する」 と、最初に答えると、上記のような確認は最初の一回のみです。
つまり、ユーザ鍵の製作者と、鍵の署名者が違うモノは、「プライベート認証局」と言って良いと思ってます。
これは、サーバ側が正規の登録ユーザかどうかを見分ける目的のためには、上位認証局は必要ありません。
サーバ証明書も署名認証局から見れば、一ユーザに過ぎず、
サーバの正当性では無く、署名した認証局の信頼性を問われている訳ですから、
「オレオレ証明書」 つまり、「自己署名サーバ鍵」とは違うんじゃないですか? と、言いたかった訳です。
それで、「サーバ鍵」の署名者である、「NTT西日本の認証局」は、正規の認証局ツリーに組み込む。
つまり、正規の上位認証局の署名があれば、問題は起きなかったね。 と、思った訳です。
hoihoi-p 得意淡然、失意泰然。
Re:デタラメ言うな (スコア:0)