アカウント名:
パスワード:
法的に存在する組織である こと(信頼できる組織ではない)を 証明することが目的
そもそも認証は暗号化が偽装されないようにURLと暗号鍵の一致を認証しているだけですから
当然、Class3証明書は取得費用が高いですが、信憑性も高いですし、Class1証明書はその逆です。 証明書に含まれるデータの信憑性には差がある、ということを認証局はもっとアピールすべきですね。
「オレオレ証明書」撲滅派は、認証局の信頼性を担保にしてたじゃない?
「オレオレ証明書」撲滅派は、中間者攻撃を防止する正しいSSL暗号化の使い方を推進していただけで、証明書の実在証明の話なんか全くしていないよ。
まだわかってない人がいるのですね・・・・。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
え? (スコア:3, すばらしい洞察)
あんなん、カード1枚あれば簡単に取れるじゃん
# 今更こんな事言われてるのを見て逆に驚く
Re:え? (スコア:2, 興味深い)
発行した後の用途に関しては関与しない(サーバで悪事をしても関係ない)ですが、悪事を働いたら身元がはっきりわかる・・・
だからCAから発行してもらう電子証明書を使っては悪事ができない、または、悪事を働いても足が着くということでしたよね?
っていうか、こういう運営をしてくれないと、身元の証明をしてくれるはずの電子証明書(これが認証ですよね?)が、単なる電子データに化する。
今回の件で話題になっている認証局・・・何を認証してくれるのだ?何も認証してないなら「認証」局ではないぞ。
Re:え? (スコア:5, おもしろおかしい)
Re:え? (スコア:3, 参考になる)
そもそも認証は暗号化が偽装されないようにURLと暗号鍵の一致を認証しているだけですから
申請する時に資料を提出するのは、そもそもの登録が嘘でない事を宣言する為であり、審査ではありません
それに、法人の登記自体はヤクザでも何でも可能ですし、既に最低資本金も撤廃されて企業法人であっても怪しいのが乱立してます
登記自体も記載されている住所や電話番号なんて自由自在です
“登記してある住所に行ってみたら建物自体が存在してない”なんてことはザラですよ
(4階建ビルの5階に入居とか、そもそも番地が無いやつとか色々です)
電話だって、そういった仮想事務所の電話番やってくれる会社があったりしますしね
Re:え? (スコア:1, 興味深い)
> 証明する資料の提出を求められるわけではありません
その通りだが・・・ただ、法的に存在する組織である
こと(信頼できる組織ではない)を
証明することが目的としてるのではないですか?
> そもそも認証は暗号化が偽装されないようにURLと
> 暗号鍵の一致を認証しているだけですから
「暗号化が偽造」って意味不明なのですが・・・FQDNの偽造または暗号鍵の偽造のことかな?それはPGPでも
同じじゃなかったけ?
SSL、S/MIMEなどのPKIでの証明書はあくまで、
第三者認証が入るから信頼性が高まるモデル
だったはず。
> 申請する時に資料を提出するのは、そもそもの登録
> が嘘でない事を宣言する為であり、審査ではありま
> せん。
「宣言」というようり、「確認」じゃない?
> 登記自体も記載されている住所や電話番号なんて
> 自由自在です
>“登記してある住所に行ってみたら建物自体が存在
> してない”なんてことはザラですよ
>(4階建ビルの5階に入居とか、そもそも番地が無
> いやつとか色々です)
> 電話だって、そういった仮想事務所の電話番やって
> くれる会社があったりしますしね
認証局が運用で行っている狙い・目的はあくまで
「書類により組織・個人の存在性を法的に証明する」
ものであると思うのだけど、違うのかな?
法的運用の弱点をついてだますことは可能だっていう
のは、論点からずれると思うのですが。
法的証明なんてこの程度ってわかるだけ。
こんなこと言ってたら、サーバ証明書の発行だけの
問題じゃなくなる。
会社で厚生年金に加入するのも保険に入るのも
借金するのも、ほとんどが登記簿を証明書(申請時
の書類の1部)としているかと思ったんだけど。
間違っていたらすみません。
Re:え? (スコア:0)
Re:え? (スコア:1, すばらしい洞察)
>じゃないね。
> そもそも認証は暗号化が偽装されないようにURLと暗号鍵の一致を認証しているだけですから
このレスの親の意図はあくまで、サーバ証明書の発行前の書類を提出させることの目的のことを言っている。
サーバ証明書を持っていることの目的のことを言っているわけではない。
後半の部分は間違え。前の方が言っているように「暗号化が偽造」は意味不明
「暗号化が偽造」==>「暗号鍵が偽造」が正解
で、CAからの証明書は、「この暗号鍵は確かにお前の暗号鍵だ」とことをCAが認証している。
議論になっているところは、「この暗号鍵は確かに『お前』の暗号鍵だ」の『お前』を、CAが証明書発行前にどのレベルで確認・認証するのかってこと。
これが、メールだったり、登記だったり様々・・・
今回の件は、CA側の『お前』の確認・認証レベルが低いことが問題になってるってこと。
ただ、『お前』の確認・認証というのを、『お前』の信頼性(お金とか業務の信頼性、支払い能力とか)というように勘違いしている人もいるってこと。
『お前』の確認・認証の目的はあくまで、『お前』は確かに存在し、『お前』の存在情報(会社名とか個人情報とか)が間違っていないか・・・ということを確認・認証すること。
ということじゃなかろうか?整理しきれたかな?
Re:え? (スコア:0)
>
> で、CAからの証明書は、「この暗号鍵は確かにお前
> の暗号鍵だ」とことをCAが認証している
正確には間違い。
「暗号鍵」==>「公開鍵」
秘密鍵は数学で、この秘密鍵を持っていないとこの公開鍵は作れない(作るのは困難)という理論になっている。
この理論で、公開鍵をCAが直接的に認証することで、秘密鍵も間接的に認証している・・・結果的にペアキー(公開鍵+秘密鍵)を認証している。
Re:え? (スコア:1)
まだ撤廃されてないよ。
今この時点で設立できる1円会社は経済産業省の資本金特例に基づく確認会社。
最低資本金が撤廃される「会社法」はまだ施行されてない。
Re:え? (スコア:3, 参考になる)
たとえばベリサインの個人認証だと3ランクあります
当然、Class3証明書は取得費用が高いですが、信憑性も高いですし、Class1証明書はその逆です。
証明書に含まれるデータの信憑性には差がある、ということを認証局はもっとアピールすべきですね。
Re:え? (スコア:1, おもしろおかしい)
粉飾も「認証」してください。
# そろそろPKIの話題まだぁ?
Re:え? (スコア:2, 参考になる)
どこが出そうと100%なんて無理ですが
発行機関次第で評価はかなり変わりますね
例えば日本ベリサインは帝国データバンクに登録されている団体か否かで審査が大きく違います
未登録の任意団体とか登録済みの法人でも組織変更するとえらい手間がかかります
それでもTDBに載ってしまえば「組織の実態」の証明はスルーしますが
電話か郵便での確認があるので架空の組織でもフロントくらいは用意しておく必要があると思います
その結果である証明書をどの程度信頼するかは当然ユーザ次第ですが
発行からして他人の信用をあてにしているわけですなw
> あんなん、カード1枚あれば簡単に取れるじゃん
同意です
安くて間口の広い機関も たくさん あるでしょうね
フリーの認証局さえも存在していますが
証明の質を悪くするだけじゃないかと思っています
# 通信の傍受を防ぐ「だけ」ならオレオレ証明のほうがマシだと思うのは間違えでしょうか??
別にベリサインの中の人ではありませんよ
Re:え? (スコア:0)
間違いです。念の為。
Re:え? (スコア:0)
> 間違いです。念の為。
フィッシングサイトを証明するくらいなら
毎回ダイアログ出たほうがマシなんじゃないかな?
くらいで書きました
すいません邪魔なものでした
Re:え? (スコア:0)
ゲームセンターで作れてしまうようなものでも,
名刺の肩書きを無条件に信頼してしまうような.
Re:え? (スコア:0)
結局現状の証明書のシステムは、実際の人間・法人と結びつける機能は無いってことだよね。
提供するのは暗号化のみ。サイト証明は認証局システムとは別の仕組みで確認するしかない、と。
Re:え? (スコア:3, すばらしい洞察)
「オレオレ証明書」撲滅派は、中間者攻撃を防止する正しいSSL暗号化の使い方を推進していただけで、証明書の実在証明の話なんか全くしていないよ。
まだわかってない人がいるのですね・・・・。
Re:え? (スコア:0)
是: オレオレ認証局で
反: 標準認証局に比べて秘密鍵管理のリスクが高い
話題はフィッシング。
是: オレオレ認証局ならフィッシングの紛らわしいURLは避けられる
反: マトモな認証局なら紛らわしいURLは認証しない
というように、認証局の組織としての信頼性に行き着いていたような。
Re:え? (スコア:1)
その信頼性の低い認証局を使えるようにしてある、ブラウザとしての信頼性に行き着く様な気もする。
Re:え? (スコア:0)
証明書はフィッシングに元々関係ないでしょ。
ドメイン名見ろって。
>是: オレオレ認証局ならフィッシングの紛らわしいURLは避けられる
君の言っていることは意味わからんよ。
Re:え? (スコア:0)
オレオレ証明書に関わる議論で、認証局の信頼性を担保にしてた例だろ。
フィッシングのところから別の議論例になってるんだよ。
文を読んで分からなかったら理解しようとしなさい。
ググればすむだけの世界にいるから阿呆になる。