アカウント名:
パスワード:
とりあえず、そういうところを見つけたらセキュリティホールの指摘として各ブラウザベンダに通報するのがよいかと。
これが真なら、初期状態で信用されている必要がまったく感じられません。信頼済みCAリストは最初は空であるべきです。
ブラウザベンダはそのCAが電子商取引に使えるか使えないかを区別するだけであって、信用調査をしていることが証明できるだけの資料を提出できないCA以外は初期の信頼済みCAリストからはずせばいい。
#そんなに難しいことではないと思うけど……。
あくまで信用調査責任は電子商取引用デジタル証明書を発行するCAにあればよいかと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
ざるな証明書サービスはブラウザベンダがはじけ (スコア:1, すばらしい洞察)
そうなってしまえば、オレオレ証明書とかわらんわけで、そういうサービスを運営してるということ自体が信用商売なめてるとしか思えない。
とりあえず、そういうところを見つけたらセキュリティホールの指摘として各ブラウザベンダに通報するのがよいかと。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:ざるな証明書サービスはブラウザベンダがはじけ (スコア:3, すばらしい洞察)
(1)実在性を確認するには費用がかかるため、サーバ証明書の発行費用が格段にあがり、零細企業が証明書を取得するのが困難になる。
(2)登記の必要のない個人やその他任意団体が証明書を取得するのが不可能になる。
そんなわけで、そういうCA自身も、そのCAを信頼済みCAリストに突っ込むブラウザベンダも、一概に悪者扱いはできません。最終的な信用点は利用者自身が決定するものです。理想論ですし、難しいことではありますが。
Re:ざるな証明書サービスはブラウザベンダがはじけ (スコア:2, 参考になる)
>(2)登記の必要のない個人やその他任意団体が証明書を取得するのが不可能になる。
実在性を確認させて、高い費用を払ってでも信用を得たい時に使ってる所と
同ランクに保存されているのは問題があるでしょう。
そういう手間隙かけている所が培った信頼を隠れ蓑に、利用者自身の決定を促す
しかも低価格でというニーズは、現行法では違法にならない事業者じゃないのかね。
>最終的な信用点は利用者自身が決定
利用者自身が「実在性を確認するには費用がかかるため」に存在してるわけでしょ。
(素人が費用をかけずにそれを行おうとすると、実在性だけなら
秘書代行なり私書箱なりで誤魔化されるだけですね)
それでは、そもそも証明書なんてオレオレで十分ですよって話になりかねない。
>一概に悪者扱いはできません。
悪者・悪行と言う方がいいと思うが、利用者のニーズに鈍感とか言い換えておく?
耐震偽装が起きようと、BSE牛肉が輸入されようと「自己責任」
賢い利用者なら見抜けたはずだというスタンスの行政みたいな。
実際的には、そういうCAは今後削除するのが「アクティブXはオフに」レベルの
標準作業にしていかないと、「利用者が見抜く」にしても忘れた頃に引っかかる危険がある。
Re:ざるな証明書サービスはブラウザベンダがはじけ (スコア:3, 参考になる)
# かといって、妥当な例が思いつかないのだが…
組織の実在性や信頼性を(必ずしも)証明しないものでもってそれらを証明しろというのは無理があると思います。
--
「接続したサイトが本物のフィッシングサイトかどうかを認証しています。」ってその通りだよなぁ…
Re:ざるな証明書サービスはブラウザベンダがはじけ (スコア:0)
特許の権利を認めておいて、問題解決は当事者同士でやって
という特許庁があるというほうが似ているか。
それが信用できる企業かどうかまでは、証明しきれる
仕組みではないとは言ってもブラウザ標準で保存されていて
自覚無く使わせるCAには、信用できる運用とか権威が必要。
簡単にsony-xxx.comみたいなアドレスを保証されても困る。
疑わしきは弾けと言うのではなく、煩わしい手続きを踏まないと取れない
高い金がかかるというのは、それだけで即時性を求める犯罪者に有効
Re:ざるな証明書サービスはブラウザベンダがはじけ (スコア:2, 興味深い)
> 同ランクに保存されているのは問題があるでしょう。
これは同感。そのためにブラウザ(OS)ベンダがやることはあるでしょうね。
> 利用者自身が「実在性を確認するには費用がかかるため」に存在してるわけでしょ。
そうです。でも、実在することと、実在するから信用できる、というところまで拡大して認識されるのはCAにとってもブラウザベンダにとっても不幸なことでしょう。その説明を十分にしてこなかった責はあると思いますが。
> 悪者・悪行と言う方がいいと思うが、利用者のニーズに鈍感とか言い換えておく?
「SSLってのは安心の証」というのが利用者のニーズだとすると、正直SSLには荷が重すぎます。まぁ、ちょっとブラウザベンダのがんばりを期待してもいいとは思いますが、抜本的には、別のものに託すべきでしょう。
Re:ざるな証明書サービスはブラウザベンダがはじけ (スコア:1)
まあ、ブラウザベンダもやってもらって構わんわけですが、
私はむしろ、信用格付機関や、信用格付コミュミティーが
いくつか存在して、それを元に判断がなされるといいなあ、
と思います。
Re:ざるな証明書サービスはブラウザベンダがはじけ (スコア:0)
鍵マークの色分けされたらビジネスもしやすくなるかな。
Re:ざるな証明書サービスはブラウザベンダがはじけ (スコア:2, すばらしい洞察)
これが真なら、初期状態で信用されている必要がまったく感じられません。信頼済みCAリストは最初は空であるべきです。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:ざるな証明書サービスはブラウザベンダがはじけ (スコア:2, すばらしい洞察)
理想論から言えば、その通りです。
しかしご存じの通り、利便性とセキュリティは概ね背反します。信頼済みCAリストというのは、ブラウザ(OS)ベンダが考える利便性とセキュリティの平衡点というところでしょう。
Re:ざるな証明書サービスはブラウザベンダがはじけ (スコア:0)
CAリストをOS(仮にWindowsXPとして)同梱って他の大抵の方法よりも便利かつ安全にルート証明書を取得できる手段だと思うんですが。
それより安全って、ベリサインの本社ビルに行ってROMメディアで手渡ししてもらうとか?現実的とは思えませんが…
あ、小売店で証明書が入ったCD-ROM(ラベルに視認できる特殊加工を施して)を販売するとかか。これは現実的なのかどうか良く分からない。ただ間違いなく認証の料金は高くなりそうだ。
Re:ざるな証明書サービスはブラウザベンダがはじけ (スコア:2, 参考になる)
それを通信経由で行うOCSP(Online Certificate Status Protocol)がRFC2560で規定されているので、ブラウザがサポートしていれば利用可能かと思います。ザルな証明書サービスを行うところを取り消しすることも可能だったかと記憶しています。FireFoxやopera辺りでサポートしているかと思いますが、今回有効なのかどうか。。。
Re:ざるな証明書サービスはブラウザベンダがはじけ (スコア:1, 興味深い)
電話より安全なのはほぼ確実ですし。
セキュリティーソフトメーカーか調査会社が会社証明プラグインでも作って売るのはアリだと思いますが。
#でもって、使い方はちゃんと啓蒙していくしか・・・
Re:ざるな証明書サービスはブラウザベンダがはじけ (スコア:1)
ブラウザベンダはそのCAが電子商取引に使えるか使えないかを区別するだけであって、信用調査をしていることが証明できるだけの資料を提出できないCA以外は初期の信頼済みCAリストからはずせばいい。
#そんなに難しいことではないと思うけど……。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:ざるな証明書サービスはブラウザベンダがはじけ (スコア:0)
CA の仕事は、証明書が必要な人が正真正銘その人で間違いないことを確認して
身分証明書を発行することです。格付けではありません。
それ以上のことはやりたくも現在のしくみでは不可能です。
「うちの発行した証明書は本人確認だけでなく、社会的信用性もバッチリです」
なんて宣伝するような CA がもしあれば、そんな嘘つき CA の方こそ
信頼済みリストからはずすべきです。
Re:ざるな証明書サービスはブラウザベンダがはじけ (スコア:0)
個人的には、「ただただサーバクライアント間で安全な暗号通信がしたい」→「よくよく考えるとそれってパブリックなHTMLサーバとかじゃ無理じゃない?」→「どう頑張っても、認証局システム造っての『あるドメインへ暗号通信でアクセス出来ている保証』ぐらいしか無理だよね」、ってなノリの物というイメージがあったもので>SSL。
それこそ、フリーのdynamic dnsサービスにフリーの認証サービスが着いてても良いんじゃないか、ぐらいの。
#実際、フリーの認証サービスもあったような・・・。
それ以上に高度な「登録者がまともかどうか」という認証機能も、同じ枠組みで造ることは出来るので、今後考えていくべきだ、というのはアリですね。
#と言うぐらいの感覚がSSLに対するインターネット上での同意事項かと漠然と思っていたんですが、
#「鍵マークが出れば絶対安全」ぐらい、既にもっと期待されてるんでしょうか?
#そもそも、なにをどう保証されてもいかがわしいビデオ屋は怪しいわけで。
Re:ざるな証明書サービスはブラウザベンダがはじけ (スコア:0)