アカウント名:
パスワード:
一番正しいのはオレオレも弾くってのだろうけど、それはそれで現実的で無いし。
つーか、真っ当な機関なら失効しない様にちゃんとチェックしとけ、ってだけで良いんでない? 失効に対してオレオレ証明も用意しないんであれば、そりゃ見てもらう前提では無いって事で。
第三種オレオレ証明書 不特定多数に利用させることを想定していて、ルート証明書かサーバ証明書をインストールするよう促しており、安全なインストール方法が用意されているもの。
その場合は使っちゃ駄目なんだから、やはりブラウザが「そのまま使う 事ができるというのは」間違っているでしょ。
警告が表示されたとしても、利用者が正しく検証する事ができるのならば 全く問題は有りません。 逆に警告が表示されないとしても、その証明書が信頼できる物とは限りません。 絶対的に正しい指標であるとは思いませんし、逆に警告が表示されればNG、 警告が表示されなければOKというのは、明らかに間違った認識だと思います。
逆に警告が表示されないとしても、その証明書が信頼できる物とは限りません。
絶対的に正しい指標であるとは思いませんし、逆に警告が表示されればNG、 警告が表示されなければOKというのは、明らかに間違った認識だと思います。
馬鹿の典型。勝手に自己陶酔してれば?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
正しいんでは? (スコア:2, 興味深い)
一番正しいのはオレオレも弾くってのだろうけど、それはそれで現実的で無いし。
つーか、真っ当な機関なら失効しない様にちゃんとチェックしとけ、ってだけで良いんでない?
失効に対してオレオレ証明も用意しないんであれば、そりゃ見てもらう前提では無いって事で。
Re:正しいんでは? (スコア:1, フレームのもと)
Re:正しいんでは? (スコア:0)
Re:正しいんでは? (スコア:3, すばらしい洞察)
Re:正しいんでは? (スコア:5, 参考になる)
>暗号化をしてるかもしれない。セキュリティ上何の意味もないです。
はい、確かにその通りです。
しかし
>オレオレ証明書であれば、SSL的には"何も"意味ないですけどね。。。(#1144044 [srad.jp])
は誤りです。
確かに不特定多数が利用するWebサイトでは、信頼できない証明書を用いた
SSL通信にセキュリティ上の効果は認められないと思います。
しかし全てのWebサイトが不特定多数を対象としている訳では有りません。
所謂「オレオレ証明書」はプライベートCAが発行した証明書を指しています。
しかし自らの責任
Re:正しいんでは? (スコア:1, 興味深い)
ここに異議あり。オレオレはプライベートCAが発行していて、なおかつネット経由でそのCAをインストールしてこようとするもの、でしょう。ローカルなマシンに別の手段でインストールするものはオレオレと呼ばれていないはずですが。
Re:正しいんでは? (スコア:1, 参考になる)
>ここに異議あり。ローカルなマシンに別の手段でインストールするものはオレオレと呼ばれていないはずですが。
http://takagi-hiromitsu.jp/diary/20051118.html [takagi-hiromitsu.jp]
この件の大家は第3種に認定していますね
第4種の一部も含まれるかもしれない
というわけで異議も認められませんし 意義も認められません
Re:正しいんでは? (スコア:0)
その場合は使っちゃ駄目なんだから、やはりブラウザが「そのまま使う 事ができるというのは」間違っているでしょ。
Re:正しいんでは? (スコア:2, 興味深い)
>インストールしていない状態だから警告が出るわけでしょ?
はい、それは正しいと思います。
ただし認証局の証明書を一度信頼できる物としてインストールしたら、
その認証局が発行したサーバ証明書は全て警告が表示されなくなります。
「その認証局が今後発行される全ての証明書を信頼して良いのか?」という事を
決断できないのならば、その認証局の証明書はインストールするべきとは思えません。
# IEでは認証局の証明書を導入する事はできますが、
# (少なくとも以前のバージョンでは)サーバ証明書を信頼する物として
# インストールする事はできなかったと思います。(未確認)
>その場合は使っちゃ駄目なんだから、やはりブラウザが「そのまま使う
>事ができるというのは」間違っているでしょ。
いいえ、それは正しいとは思えません。
ブラウザが警告を表示するのは、あくまでも証明書の表面的な検証に失敗した為です。
警告が表示されたとしても、利用者が正しく検証する事ができるのならば
全く問題は有りません。
# 逆に警告が表示されないとしても、その証明書が信頼できる物とは限りません。
利用者が正しく検証する事ができない事が判っているにも関わらず
「セキュリティの問題は有りませんのでご安心下さい」などと言う事は、
間違っていると思います。
しかし全く同じ証明書である事が判っているにも関わらず、ブラウザにインストール
しているか否か(警告が表示されるか否か)という違いで、その証明書の信頼度が変わる
というのは合理的とは思えません。
もちろん本人のスキルに強く依存する訳ですし、ユーザ教育が不可欠な事は言うまでも
有りません。まずユーザ教育の第一歩としては、警告が表示される証明書は信頼するな
というのも正しいと思います。
しかしそれが絶対的に正しい指標であるとは思いませんし、逆に警告が表示されればNG、
警告が表示されなければOKというのは、明らかに間違った認識だと思います。
Re:正しいんでは? (スコア:0)
馬鹿の典型。勝手に自己陶酔してれば?
Re:正しいんでは? (スコア:0)
Re:正しいんでは? (スコア:0)
Re:正しいんでは? (スコア:1)
いいえ、その論理は明らかに間違っています。
警告が表示されるというのは、安全に対する疑念が生じたために、
機械が人に対して何らかの判断と行動を促しているのです。
安全に対して機械が自動的に判断できて、警告が表示されても盲目的に
人が警告を信用して良いのなら、最初から警告を表示させることなく、
自動的に安全側へシフトすれば良いのです。違いますか?
またWebブラウザが警告画面を表示する仕組みを知っていれば、警告画面が
表示しなければOKという考えが、浅はかであるという事は明白です。
Webブラウザは大雑把に言えば
・受け取った証明書に記載されたドメイン名が一致する(サーバ証明書のみ)
・受け取った証明書の電子署名を検証
・受け取った証明書の有効期限を検証
・受け取った証明書の失効情報を検証←これが今回の話題
という事をサーバ証明書とそれを発行した認証局の証明書に対して実施し、
その検証パスがWebブラウザが認識している信頼ポイントまで全てきちんと
到達できた場合にその証明書を受け入れ、何れかに失敗した場合に警告が
表示されます。
# 何か忘れていないかな…
Webブラウザが認識している信頼ポイントとは、Webブラウザにインストール
されている認証局の証明書の事を指します。Webブラウザにインストール
されている認証局とは、原則としてWebTrast for CAという認証を取得した
認証局です。
WebTrast for CAの認証を取得するためには、認証運用規程の公開やその遵守、
監査の実施など様々な事項に合格しなければなりませんが、証明書を発行する
対象を実在する法人/個人に限るとは定められていないはずです。
それは認証局が自ら定め認証運用規程で公開しなければなりませんが、その
認証方針が信頼に足るかどうかを判断するのは利用者に委ねられているはずです。
# 間違っていれば指摘して下さい。
# <余談>
# この辺りの認証方針を明確に定め、間違いなく実在する法人に対して
# 発行された事を保障するのが、EVSSL証明書という訳です。
# </余談>
つまりWebブラウザが表示する警告画面とは、公開鍵証明書のデータに対して
信頼ポイントからの信頼チェーンに不整合が生じているという事が表示される
だけです。その証明書がどのような認証方針に従い発行されたのかという事は、
全く検証されません。
あなたがhttpsであるWebサイトを参照したとします。
Webページには自分がアクセスしようとした会社の名前が記載されています。
警告画面は表示されませんでした。
しかしもしあなたが「これなら大丈夫だ」と判断したのなら、フィッシング
サイトに騙される恐れは十分に考えられると思います。
なぜならそのページで用いられた証明書が、正しく実在する個人/法人に対して
発行されたとは限りません。確かにそのサイトのドメイン名と証明書は一致して
いますが、そのWebサイトが本当にWebページに表示された会社が運営している
とは限りませんし、たとえWhois情報を確認したとしても、Whoisではドメイン名
の登録者は表示されても、運営者までは表示されません。
>馬鹿の典型。勝手に自己陶酔してれば?
私が「馬鹿の典型」だと仰るのでしたら、
「警告が表示されればNG、 警告が表示されなければOK」という事に対して、
具体的な根拠を示して下さい。
Re:正しいんでは? (スコア:1)
> 「警告が表示されればNG、 警告が表示されなければOK」という事に対して、
SSLつーかPKIはそれ以上のことを保証するものなの?
# ごめんね。この辺勉強したこと無いんだ。
Re:正しいんでは? (スコア:1)
何を信頼するのか、どういう基準で信頼するのかというのは、利用者それぞれの基準で
判断される物です。ですから自組織で運営する認証局を自分の信頼ポイントとする事は、
PKIとしては全く問題は有りません。
ただhttpsに関しては、Webブラウザに予めインストールされている認証局が信頼ポイント
となっており、利用者が自ら判断した上で信頼するかどうか決定しているとは言えません。
ですからSSLの場合は例え警告が表示されなかったとしても、本当に自分の基準で信頼
できる物とは言えないと思います。