アカウント名:
パスワード:
証明書をすりかえられているかの確認はリスクですけど相手は自宅鯖なのでその辺はよしなに
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
一般人におけるSSLの意味 (スコア:1, すばらしい洞察)
発行元が証明されているとか、中身が改竄されてないことを証明するってところは
あまり知られてないということ。
あまり知られてない理由に「重要なファクタについての啓蒙をしてこなかった」というのはあるけどね。
それをできるのは知ってる我々の役目でもあるということも肝に銘じておかねば。
Re:一般人におけるSSLの意味 (スコア:1, すばらしい洞察)
> 通信路が暗号化されている、くらいの認識しかないってことだね。
通信路も正しく暗号化されていないというのが正しい理解です。
> 発行元が証明されているとか、中身が改竄されてないことを証明するってところは
> あまり知られてないということ。
そういう話ではありません。
Re:一般人におけるSSLの意味 (スコア:0)
Re:一般人におけるSSLの意味 (スコア:0)
それが本当に確認できて
> 自宅鯖のSSLサイトにアクセスしようとした時にブラウザが出す証明書
が自分と自宅の間にいる他の誰かがすりかえた証明書ではないことまで証明できればそのとおりです。
Re:一般人におけるSSLの意味 (スコア:0)
到達できているかあるいは証明書をすりかえられているかの確認はリスクですけど相手は自宅鯖なのでその辺はよしなにと言う運用はアリだと。
#証明書についての正しい認識が広まってくれると、オレオレ証明書の自宅鯖SSLサイトを
#訪れた人は門前で引き返してくれるから期せずして来る人が少なくなってうれしいかも。
Re:一般人におけるSSLの意味 (スコア:2, すばらしい洞察)
Re:一般人におけるSSLの意味 (スコア:1)
無論ですがフィンガープリントはネットで公開されていないことが条件です
フィンガープリントまで詐称されたら意味が無い
あと文書等でこれらを配布した場合、たしかに発行者が出したものと証明できないと
意味がありません
配布経路等も気にする必要があるでしょう、フィンガープリントとURLを記載した
偽物の文書が出回ったら意味が無いわけです
自己証明書は「自分で使うか」「証明書発行者本人の発行物であると言う証明と
信頼の置ける流通経路を使って配布した場合場合」にしか使えないと考えています
各種証明書発行機関は証明書が確かに本人の物であると言う確認行為を代行しているに
過ぎないわけですから自らそれを行えるのなら自己証明書も有効って事になります
この銀行の件は明らかにそれを無視して居るのは言うまでもありません
銀行の窓口で自己証明書の入ったCDでも手渡ししてるなら使えるとは思いますが...
Re:一般人におけるSSLの意味 (スコア:0)
> フィンガープリントまで詐称されたら意味が無い
証明書のフィンガープリントが詐称されるようなことがあるならなおさらオレオレ証明書なんか使えませんがな:)
可能性としては
- フィンガープリント一致するようなオレオレ証明書をモノスゴイ計算パワーででっちあげる
- フィンガープリント表示部をのっとる
ぐらいかな
前者は時間的な制約で難しそうだし
後者の場合にはフィンガープリントがどうのこうの以前にシステム自体が悪さをしないか疑った方がいいかも
詐称というのが計算されたフィンガープリントではなく別経路で入手したものであるとして
> あと文書等でこれらを配布した場合、たしかに発行者が出したものと証明できないと意味がありません
> 配布経路等も気にする必要があるでしょう、フィンガープリントとURLを記載した偽物の文書が出回ったら意味が無いわけです
正しいフィンガープリントを多数ばらまいておけば多少の偽物があっても負けない という考えからか
PGPやらのフィンガープリントをメールのシグネチャに入れている人を何人もみてきました
これが「ネットで公開されていないことが条件です」の反証になりませんかね
Re:一般人におけるSSLの意味 (スコア:0)
○:フィンガープリントは(もちろんネット以外の)信用できる手段で公開されていることが条件
公開が必須となるのは利用者全員が正しいフィンガープリントを知る必要があるから。
不特定多数に向けたサービスでなければ、別に公開する必要なんかない。
ちなみに偽証されてないことが信用できるならネット経由でも構わないんだけど、
ネットの通信が信用できるならそもそも証明書なんか必要ない(w
Re:一般人におけるSSLの意味 (スコア:1)
「サイトごと詐称して、フィンガープリントと証明書をおいておく」
偽装サイト防止もSSL証明書の機能の1つですよ
まぁ日本の場合co.jpは会社の登記簿謄本が必要になるので
DNSをクラックしないとドメイン事態は奪えないでしょうが、ほかのドメインなら....
だから自己証明書の場合はネット以外の信頼できる方法で配布することが必要になるのです
Re:一般人におけるSSLの意味 (スコア:0)
他のドメインならDNSクラック以外にco.jpと違う事情で詐称しやすいのですか?
Re:一般人におけるSSLの意味 (スコア:1)
入力ミス等や似たようなドメインを使うのがこの手のアタックの常套手段ではないでしょうか?
たとえば...まぁこれはフィッシングではありませんが
九十九電気 [tsukumo.co.jp]と九十九商会 [tukumo.co.jp]みたいに似たようなドメインは存在します