アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
厳密には (スコア:5, すばらしい洞察)
に加えて、CP/CPSを吟味する、ってのも必要ですな。
例えば、GPKIのブリッジ認証局CP/CPS [gpki.go.jp]。
オレオレ証明書は無条件に信用しない、と言うのではなく、
フィンガープリントなどを何らかの方法で確認できない限り、
信用しない、ってのが本来あるべき姿かも。
Re:厳密には (スコア:0)
フィンガープリントなんて見る必要ないでしょ?
ていうか、見ても無駄だし。
だいたい、どうやってフィンガープリントを正しく確認するのさ。
Re:厳密には (スコア:2, 参考になる)
> フィンガープリントなんて見る必要ないでしょ?
ブラウザベンダをそこまで信頼していいのか、と言う問題はさておき。
私は、「最初から入っているルート証明書」については、
フィンガープリントを確認せよ、と言っているのではなくて、
自前のCAを立てて、自前のサーバ証明書で運用している(つまり、オレオレ)
ようなケースについては、フィンガープリントを確認せよ、と言っています。
> だいたい、どうやってフィンガープリントを正しく確認するのさ。
RFC3280 [rfc-editor.org]に言う、
`some trustworthy out-of-band procedure'ってヤツですよ。
例えば、複数の官報に印刷されているフィンガープリントで確認するとか。
Re:厳密には (スコア:0)
GPKIは官報があるけど、LGPKIは確認のしようがない罠
Re:厳密には (スコア:2, 参考になる)
> GPKIは官報があるけど、LGPKIは確認のしようがない罠
ケース・バイ・ケースですから。
ここ [lgpki.jp]でも述べられている通り、
複数の地方公共団体 [lgpki.jp]に、
trustworthy out-of-bandな方法で確認する、
ってのが一つの解じゃないでしょうか。
ダメだダメだってばっかり言ってないで、
できる方法を少しは考えてみようよ。
Re:厳密には (スコア:0)
本来なら自分が安全と考える認証局の証明書だけ使えばいいだけ。
Firefoxでは証明書マネージャの設定で認証局毎に証明書の用途を設定できるので設定しましょう。
信頼できない認証局の運用をしていると思ったら全てチェックを外せば良いです。
これを設定すると自分が安全だと思った認証局から署名された証明書以外は「オレオレ証明書」として処理されます。