アカウント名:
パスワード:
「暗号化」と「本人である事が安心なのか」はすべて別なのであります!フィッシングサイトだってちゃんとSSLを使っているんだしねwオレオレ証明書が難無く通る仕組みを作ったうえでSSLの強制化を話してくださいwオレオレでも暗号化については”同等に安全”なのは知ってるはずだろう?でなければやはり商売の香りがぷんぷんする。
オレオレを締め出した上に本来のSSLの趣旨であろう企業証明書?が別は枠で出来上がったのはなんでだろうね。
中間者がいる、つまりパケットを盗聴して、変なパケットを送りつけられる、という前提で、オレオレ証明書のサイトはどこの誰だか安心できないっていうのを知った上で?
その証明書(CA/クライアント/サーバー)が全部オレオレでも、全部自分で作成してあって、自分以外が接続しない(させない)サーバーに適用してある分にはまあいいんじゃね。自分のサーバー/クライアントとつながってるのは当事者なら分かるだろうし。もちろんprivate key等が流出していない前提だけど。
そんなわけで第三者が接続する必要があるなら真っ当なCAで署名された証明書がいるだろうけど、個人や企業内で使用するものに関してもverisign等の証明書使ってないとエラーになるとかいうのは勘弁してくれっていうのは理解できる。
その証明書(CA/クライアント/サーバー)が全部オレオレでも、全部自分で作成してあって、自分以外が接続しない(させない)サーバーに適用してある分にはまあいいんじゃね。
私も個人的なもので、そういうことをやったことあります。その場合は、OSなりウェブブラウザなりに、オレオレのルート証明書を取り込ませておけば、エラー・警告の類にはならないですよね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
そもそも・・・ (スコア:0)
「暗号化」と「本人である事が安心なのか」はすべて別なのであります!
フィッシングサイトだってちゃんとSSLを使っているんだしねw
オレオレ証明書が難無く通る仕組みを作ったうえでSSLの強制化を話してくださいw
オレオレでも暗号化については”同等に安全”なのは知ってるはずだろう?
でなければやはり商売の香りがぷんぷんする。
オレオレを締め出した上に本来のSSLの趣旨であろう企業証明書?が別は枠で出来上がったのはなんでだろうね。
Re: (スコア:0)
中間者がいる、つまりパケットを盗聴して、変なパケットを送りつけられる、という前提で、オレオレ証明書のサイトはどこの誰だか安心できないっていうのを知った上で?
Re: (スコア:0)
その証明書(CA/クライアント/サーバー)が全部オレオレでも、全部自分で作成してあって、
自分以外が接続しない(させない)サーバーに適用してある分にはまあいいんじゃね。
自分のサーバー/クライアントとつながってるのは当事者なら分かるだろうし。
もちろんprivate key等が流出していない前提だけど。
そんなわけで第三者が接続する必要があるなら真っ当なCAで署名された証明書がいるだろうけど、
個人や企業内で使用するものに関してもverisign等の証明書使ってないとエラーになるとかいうのは勘弁してくれっていうのは理解できる。
Re:そもそも・・・ (スコア:0)
私も個人的なもので、そういうことをやったことあります。その場合は、OSなりウェブブラウザなりに、オレオレのルート証明書を取り込ませておけば、エラー・警告の類にはならないですよね。