アカウント名:
パスワード:
>適当なメールアドレスを用いて「Apple Computer」という名称でVerisignから6日間有効のデモ用認証ファイルを取得し
Verisignて、適当なメールアドレスで認証フィルを発行するんですか。それでは、証明書の信頼性に関わると思うんですが。 「Apple Computer」という名称は、iMacやiPhoneを売っている「Apple inc.」とは違うので、詐称にはならないから良いんですかね。それでも、申請者のチェックは行わないと問題だと思うんですが、デモ用だと確認せずに発行するのだろうか。
これだと、Verisignの証明書が信用できないという結論になりそうなのですが。 なにか勘違いしているのでしょうか。
実在証明を行わない証明書の仕様です。問題なのは、そんな証明書に書かれている名前をセキュリティ上重要な判断に使っているアップルであって、VeriSignが発行している証明書ではありません。SSLの場合はドメインの所有者でないと受け取れないメールアドレスを指定したり電話をかけたりすることによって確認を行いますが、それ以上のチェックは通常行われません。行うものがEV SSLですが、保証しているのは証明書に書かれている組織が確かに存在することであって、確かに存在する詐欺会社かどうかまでは関知しません。
なるほど。そういう問題だったのですか。それならば、アップルが承認した証明書以外は認めないようにしてしまえば解決しそうですね。
少なくとも、「プロファイル」について、アップルがサインした物以外はインストール出来ないようにしてしまえば脆弱性はなくなるということですよね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
Verisignの問題? (スコア:1)
>適当なメールアドレスを用いて「Apple Computer」という名称でVerisignから6日間有効のデモ用認証ファイルを取得し
Verisignて、適当なメールアドレスで認証フィルを発行するんですか。それでは、証明書の信頼性に関わると思うんですが。
「Apple Computer」という名称は、iMacやiPhoneを売っている「Apple inc.」とは違うので、詐称にはならないから良いんですかね。それでも、申請者のチェックは行わないと問題だと思うんですが、デモ用だと確認せずに発行するのだろうか。
これだと、Verisignの証明書が信用できないという結論になりそうなのですが。
なにか勘違いしているのでしょうか。
Re: (スコア:3, 参考になる)
実在証明を行わない証明書の仕様です。問題なのは、そんな証明書に書かれている名前をセキュリティ上重要な判断に使っているアップルであって、VeriSignが発行している証明書ではありません。
SSLの場合はドメインの所有者でないと受け取れないメールアドレスを指定したり電話をかけたりすることによって確認を行いますが、それ以上のチェックは通常行われません。行うものがEV SSLですが、保証しているのは証明書に書かれている組織が確かに存在することであって、確かに存在する詐欺会社かどうかまでは関知しません。
Re:Verisignの問題? (スコア:1)
なるほど。そういう問題だったのですか。
それならば、アップルが承認した証明書以外は認めないようにしてしまえば解決しそうですね。
少なくとも、「プロファイル」について、アップルがサインした物以外はインストール出来ないようにしてしまえば脆弱性はなくなるということですよね。