アカウント名:
パスワード:
もうはっきり区別すればいいんだよ。 単に暗号化したいというだけの人のための仕組みと、暗号化して真っ当に運営したいという人のための仕組みを。 Simple SSLとか適当な新しい名前の規格にしてさ。
どうせ俺々証明書を設置する人は、ちょうどよい仕組みがないからそうしているだけで、そこまでのセキュリティは求めてないんでしょ? 設置者は維持費を削減できて幸せ、消費者も煩わしい警告を減らせて、かつ必要であれば真っ当なサイトと区別は付けられるし幸せ、でみんな幸せでしょ? 成りすましや改竄は防げないけど、パケットが平文で流れるよりかはいくらかマシなんだしさ。
誰でも自由に使える証明機関を一つ作って、そこで認証された証明書はブラウザが特別な証明書だと判断すれば、プロトコル的には手を加えなくてもできそうかな? # ひょっとして、無料で配ってるところは、既にそういう発想でやってるのかな?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
SSLに変わる技術が必要 (スコア:0)
問題の根源は認証局に登録する際の費用が高いという点です。
認証局に登録しないとSSLのセキュリティが保てないというのは大きな欠点だと言えます。
これを解決する技術が出てこない限り、オレオレ証明書はなくならないでしょう。
SSLはオーバースペック (スコア:0, 興味深い)
もうはっきり区別すればいいんだよ。
単に暗号化したいというだけの人のための仕組みと、暗号化して真っ当に運営したいという人のための仕組みを。
Simple SSLとか適当な新しい名前の規格にしてさ。
どうせ俺々証明書を設置する人は、ちょうどよい仕組みがないからそうしているだけで、そこまでのセキュリティは求めてないんでしょ?
設置者は維持費を削減できて幸せ、消費者も煩わしい警告を減らせて、かつ必要であれば真っ当なサイトと区別は付けられるし幸せ、でみんな幸せでしょ?
成りすましや改竄は防げないけど、パケットが平文で流れるよりかはいくらかマシなんだしさ。
誰でも自由に使える証明機関を一つ作って、そこで認証された証明書はブラウザが特別な証明書だと判断すれば、プロトコル的には手を加えなくてもできそうかな?
# ひょっとして、無料で配ってるところは、既にそういう発想でやってるのかな?
Re:SSLはオーバースペック (スコア:2, すばらしい洞察)
送る相手が本当に送りたい相手なのか確かめる術がなければ暗号化に意味などあるものか。
Re: (スコア:0)
サーバーやDNSが偽者だったら筒抜け?そのとおりですよ。
必要だと言っているのは、そこまでのセキュリティは求めていない、http+αでいい人たちのための仕組みですから。