アカウント名:
パスワード:
不審なサイトには
その不審なサイトかどうか判別が不可能になるって話でしょ? それとも「未だに証明書のハッシュにMD5を使っているサイト」=「不審なサイト」と定義するんでしょうか。
ハッシュにMD5を使っているようなCAのルート証明書
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
このコピペいい加減有害だと思う (スコア:5, すばらしい洞察)
その不審なサイトかどうか判別が不可能になるって話でしょ? それとも「未だに証明書のハッシュにMD5を使っているサイト」=「不審なサイト」と定義するんでしょうか。
Re: (スコア:5, すばらしい洞察)
偽のCAは任意のサイトに対して好きなように署名したサイト証明書を発行し放題。
で、たとえばexample.comの偽の証明書を偽のCAで署名して、犠牲者にMITM攻撃をしかけると、
犠牲者からは https://example.com/ [example.com] にアクセスしていてちゃんと認証されているようにしか見えない。
認証チェインを確認すれば怪しいCAが間に入っているのに気づくかもしれないけれど…
これ、ユーザ側で出来ることといったら「未だに証明書のハッシュにMD5を使っているようなCAのルート証明書をブラウザから外す」ことくらいじゃないかなと思うんですが、どうなんでしょ。
Re:このコピペいい加減有害だと思う (スコア:1)
たとえ、上位CAからMD5withRSAで発行してもらった中間CAでも、過去に (将来もですが) 発行した証明書やCRLの署名アルゴリズムがすべてMD5withRSA以外であれば、まったく問題はないです。
MD5withRSAの自己署名証明書をもったルートCAの場合でも、自己署名証明書以外に発行した証明書やCRLの署名アルゴリズムがすべてMD5withRSA以外であれば、事実上問題はないはずです (悪用可能なデータが1つはあるので、可能性は零ではないにしろ)。
iida