アカウント名:
パスワード:
Mozilla が Let's Encrypt Root を認証局として信頼 [letsencrypt.jp] によると、Firefox 50 以降では、Let's Encrypt が Firefox の信頼されたルート証明機関に含まれるようになります。
今までは、Let's Encrypt は、IdenTrust Root からチェーンされていたことで信頼済みとして扱われていたわけですが、これからは独立した認証局として信頼済みとなります。
無料でTLS証明書を発行している中国のCA「WoSign」をブロックする一方で、同じく無料でTLS証明書
Let's Encryptも同じ問題を抱えているという指摘 [ya.maya.st]もあるため、これが事実ならば信頼済みに入れて欲しくないですね。
Let's Encryptも同じ問題を抱えている
全然同じじゃないです。中国最大級の認証局「WoSign」がニセの証明書を発行していたことが判明 [gigazine.net]によると「WoSign」の件は「脆弱性」です。一方、「DNSレコードに認証用のレコードを追加」することでドメイン所有者と認証されるのはACME プロトコルの仕様です。認証の仕組みの概要についてはLet's Encrypt の仕組み [letsencrypt.jp]をご覧ください。
そもそも、ACMEプロトコルの認証用レコードに「_」が含まれているのは、セキュリティ上の理由です。DNSにはアンダースコア付きのレコードが登録できる [ietf.org]けど、HTTP [ietf.org]とかSMTPとかでは使えないので、ホスティングサービスにお
ここまで間違い・まとはずれだらけなコメントが参考になるといわれても。
全然同じじゃないです。
同じです。WoSignと同様にサブドメイン管理者が親ドメインのSSL証明書を取得できることに問題があるという指摘ですが、理解できていますか?TXTレコードでドメイン所有権を確認することは一般的ですが、サブドメインのTXTレコードで親ドメインの所有権を確認するのは、一般的ではありません。
ACMEなんて、Let's Encryptのために作られたもので実績も何もないです。それを「問題ない
別ACですが、すごく怒っているのは伝わってくるんだけど・・・
> ユーザーが自由にサブドメインを作れるサービス(レンタルサーバとかレンタルブログとか)で、> 「_acme-challenge.example.com」のようにサブドメイン名にアンダースコアが使えるような> サービスは見たことがないので実害も無いでしょう。
これに、反論しないとあまり意味が無いような気もしますがそういうサービスが有るという主張をされているのでしょうか?であれば、実例を上げてほしいですね。# ってか、ホスト名に「_」っていつの間に使って良くなったんだっけ?
Let's Encryptは、
・親ドメインに任意のサブドメインを追加できる必要がある・「_」を含むサブドメインを追加できる必要がある・実際にそのようなサービスが見当たらない
と、脆弱性を利用するのに厳しい制限があるのに対して、WoSignは
・サブドメインに対応付けられたサーバーの管理権限で ルートドメインの証明書を取得可
さらに
・WoSignがSHA-1を使った証明書を日付を偽装して発行・WoSignがStartComを非公開で買収・他
で数え役満的な措置なんじゃないでしょうかね。Let's Encryptの仕組みに全く問題がないとは思いませんが・・・
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
一方で、Firefox は Let's Encrypt を信頼済みルートCAへ追加 (スコア:3)
Mozilla が Let's Encrypt Root を認証局として信頼 [letsencrypt.jp] によると、Firefox 50 以降では、Let's Encrypt が Firefox の信頼されたルート証明機関に含まれるようになります。
今までは、Let's Encrypt は、IdenTrust Root からチェーンされていたことで信頼済みとして扱われていたわけですが、これからは独立した認証局として信頼済みとなります。
無料でTLS証明書を発行している中国のCA「WoSign」をブロックする一方で、同じく無料でTLS証明書
Re: (スコア:1)
Let's Encryptも同じ問題を抱えているという指摘 [ya.maya.st]もあるため、これが事実ならば信頼済みに入れて欲しくないですね。
Let's Encrypt、というよりACMEプロトコルの仕様は問題ないと思う (スコア:5, 参考になる)
全然同じじゃないです。中国最大級の認証局「WoSign」がニセの証明書を発行していたことが判明 [gigazine.net]によると「WoSign」の件は「脆弱性」です。一方、「DNSレコードに認証用のレコードを追加」することでドメイン所有者と認証されるのはACME プロトコルの仕様です。認証の仕組みの概要についてはLet's Encrypt の仕組み [letsencrypt.jp]をご覧ください。
そもそも、ACMEプロトコルの認証用レコードに「_」が含まれているのは、セキュリティ上の理由です。DNSにはアンダースコア付きのレコードが登録できる [ietf.org]けど、HTTP [ietf.org]とかSMTPとかでは使えないので、ホスティングサービスにお
Re: (スコア:2, 参考になる)
ここまで間違い・まとはずれだらけなコメントが参考になるといわれても。
全然同じじゃないです。
同じです。
WoSignと同様にサブドメイン管理者が親ドメインのSSL証明書を取得できることに問題があるという指摘ですが、理解できていますか?
TXTレコードでドメイン所有権を確認することは一般的ですが、サブドメインのTXTレコードで親ドメインの所有権を確認するのは、一般的ではありません。
ACMEなんて、Let's Encryptのために作られたもので実績も何もないです。
それを「問題ない
Re:Let's Encrypt、というよりACMEプロトコルの仕様は問題ないと思う (スコア:0)
別ACですが、すごく怒っているのは伝わってくるんだけど・・・
> ユーザーが自由にサブドメインを作れるサービス(レンタルサーバとかレンタルブログとか)で、
> 「_acme-challenge.example.com」のようにサブドメイン名にアンダースコアが使えるような
> サービスは見たことがないので実害も無いでしょう。
これに、反論しないとあまり意味が無いような気もしますが
そういうサービスが有るという主張をされているのでしょうか?
であれば、実例を上げてほしいですね。
# ってか、ホスト名に「_」っていつの間に使って良くなったんだっけ?
Let's Encryptは、
・親ドメインに任意のサブドメインを追加できる必要がある
・「_」を含むサブドメインを追加できる必要がある
・実際にそのようなサービスが見当たらない
と、脆弱性を利用するのに厳しい制限があるのに対して、WoSignは
・サブドメインに対応付けられたサーバーの管理権限で
ルートドメインの証明書を取得可
さらに
・WoSignがSHA-1を使った証明書を日付を偽装して発行
・WoSignがStartComを非公開で買収
・他
で数え役満的な措置なんじゃないでしょうかね。
Let's Encryptの仕組みに全く問題がないとは思いませんが・・・