アカウント名:
パスワード:
ブロックや非サポートになるからアクセスできなくなる。SSLでない(=安全な接続でない)のはアクセスできるのに、SHA1(=そこそこ安全な接続)のはアクセスできないって対応の仕方はどこかおかしい。デッカク「SHA1は危ないかもよ!非SSLも危ないかもよ!」って警告する程度にしてもらいたい
Mozillaはその対応ですね。ぱっと見有効期限が切れてる証明書とかと似たような警告の画面が表示される模様。SHA1証明書に対する各社の対応@サイバートラスト [cybertrust.ne.jp]
まぁSHA1証明書が今後廃止に向けて動くってのは間違い無いですし、徐々に対応してもらえば良いんじゃないでしょうか。
現状110GPU年であれば、よっぽど裕福なクラッカーでもない限り攻撃にソコソコ長時間掛かるので、事実上問題が出る前に収束するでしょうしね。
#まぁSSL=安全って事でもないんだけどねぇ・・・#LetsEnclypt使えば無料でDV取れちゃうし、EV/OVとの表示の違いなんて気にしてる一般人なんて殆どいないしなー#IT系企業でもEVとかOVとかDVとか証明書の種類があることすら知らない人も居たりする位だからなぁ・・・
まあ、or.jpやco.jpなら.comより安全とか思われてたりする嘘のような話が実際にあったりしますからね……
たまにDVの販売ページとかを見つけてきて、安いからこれにしたらどうかと言われるけど毎回説明するのが面倒です。とはいえ私もEVじゃなきゃOVもDVも大差ないとは思っています。せめてOV発行している認証局はDV発行できないようにでもなってくれないと、OV入れているところが逆に情弱企業として認定されてしまいそうです。
「危ないかもよ」ぐらいの警告じゃ、技術的詳細に明るくなく、リスクを正当に評価できない人(orする気もない人)にはあまり意味が無いからなぁ。
5分ぐらいの教育ビデオを流して、そのあと(数百問のうちからランダムに選ばれる)10問くらいのセキュリティリテラシーチェックのテストを受けさせて、全問正解だったらアクセスできるというのはどうか?
> SSLでない(=安全な接続でない)のはアクセスできるのに、SHA1(=そこそこ安全な接続)のはアクセスできないって対応の仕方はどこかおかしい。危険かもしれないものをそうと知って使うのと、危険なものを安全と思い込んで使うのでは、後者の方が有害だろうから、ブロックするのは妥当かと思う。
> デッカク「SHA1は危ないかもよ!非SSLも危ないかもよ!」って警告する程度にしてもらいたい……ので、これも同意したいのだけど、証明書は通信の暗号化以外にも運営者の実在証明とかそんな感じの役割があったはずなので、単に危険性だけでなくそちらの詐称とか攪乱のリスクもあるんだろうか?教えてエロい人
運営者の実在証明
それはEV SSL。
EVは実在性の証明の度合い(厳しさ)の違い。
非実在でもアウトです///
せめてhttpsでアクセスしてエラーが出た場合、URLを手動でhttpに書き換えて繋がればいいのだけど、それすら拒否するサイトがあるからなあ。しかもログインしなくても見れるはずのサイトで。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
各ブラウザの対応が・・・ (スコア:0)
ブロックや非サポートになるからアクセスできなくなる。
SSLでない(=安全な接続でない)のはアクセスできるのに、SHA1(=そこそこ安全な接続)のはアクセスできないって対応の仕方はどこかおかしい。
デッカク「SHA1は危ないかもよ!非SSLも危ないかもよ!」って警告する程度にしてもらいたい
Re:各ブラウザの対応が・・・ (スコア:1)
Mozillaはその対応ですね。ぱっと見有効期限が切れてる証明書とかと似たような警告の画面が表示される模様。
SHA1証明書に対する各社の対応@サイバートラスト [cybertrust.ne.jp]
まぁSHA1証明書が今後廃止に向けて動くってのは間違い無いですし、
徐々に対応してもらえば良いんじゃないでしょうか。
現状110GPU年であれば、よっぽど裕福なクラッカーでもない限り
攻撃にソコソコ長時間掛かるので、事実上問題が出る前に
収束するでしょうしね。
#まぁSSL=安全って事でもないんだけどねぇ・・・
#LetsEnclypt使えば無料でDV取れちゃうし、EV/OVとの表示の違いなんて気にしてる一般人なんて殆どいないしなー
#IT系企業でもEVとかOVとかDVとか証明書の種類があることすら知らない人も居たりする位だからなぁ・・・
Re: (スコア:0)
まあ、or.jpやco.jpなら.comより安全とか思われてたりする嘘のような話が実際にあったりしますからね……
たまにDVの販売ページとかを見つけてきて、安いからこれにしたらどうかと言われるけど毎回説明するのが面倒です。とはいえ私もEVじゃなきゃOVもDVも大差ないとは思っています。
せめてOV発行している認証局はDV発行できないようにでもなってくれないと、OV入れているところが逆に情弱企業として認定されてしまいそうです。
Re: (スコア:0)
「危ないかもよ」ぐらいの警告じゃ、技術的詳細に明るくなく、リスクを正当に評価できない人(orする気もない人)には
あまり意味が無いからなぁ。
5分ぐらいの教育ビデオを流して、そのあと(数百問のうちからランダムに選ばれる)10問くらいの
セキュリティリテラシーチェックのテストを受けさせて、全問正解だったらアクセスできるというのはどうか?
Re: (スコア:0)
> SSLでない(=安全な接続でない)のはアクセスできるのに、SHA1(=そこそこ安全な接続)のはアクセスできないって対応の仕方はどこかおかしい。
危険かもしれないものをそうと知って使うのと、危険なものを安全と思い込んで使うのでは、後者の方が有害だろうから、ブロックするのは妥当かと思う。
> デッカク「SHA1は危ないかもよ!非SSLも危ないかもよ!」って警告する程度にしてもらいたい
……ので、これも同意したいのだけど、証明書は通信の暗号化以外にも運営者の実在証明とかそんな感じの役割があったはずなので、単に危険性だけでなくそちらの詐称とか攪乱のリスクもあるんだろうか?
教えてエロい人
Re: (スコア:0)
それはEV SSL。
Re: (スコア:0)
EVは実在性の証明の度合い(厳しさ)の違い。
Re: (スコア:0)
非実在でもアウトです///
Re: (スコア:0)
せめてhttpsでアクセスしてエラーが出た場合、URLを手動でhttpに書き換えて繋がればいいのだけど、それすら拒否するサイトがあるからなあ。しかもログインしなくても見れるはずのサイトで。