アカウント名:
パスワード:
他でも書きましたが、AT YOUR OWN RISKが基本なら、デフォルトの信頼済みCAリストは空であるべきです。
一般ユーザーにもわかる電子商取引に使えるCAを見分ける手段として「信頼済みCAリスト」提供されているものと思ってたんですが、なんか上記のACさんたちの主張ではそうじゃないようで。 そうすると一般ユーザーは電子商取引ができないんですよね。
デジタル証明書は経路を保証するという時点で思考停止してる方が非常に多くて……。
一般ユーザーにもわかる電子商取引に使えるCAを見分ける手段として「信頼済みCAリスト」提供されているものと思ってたんですが、
#なんだかなぁ……。
「信頼済みCAリストの中にフィッシング詐欺URLに証明書を発行するCAが混じっている」という点だということは認識されていますか?
信頼できるCAというのは、ドメイン所有者にしかそのドメイン用の証明書を発行しないことですよ。この手続きでミスを犯すCAだけが、「信頼できないCA」であり、ルートからはずすべきCAです。
そのドメイン所有者が、犯罪者であっても、関係ありません。
「犯罪者に証明書を発行するようなCAは「信頼」できない」とあなたは思っているのかもしれませんが、それはあなたが勝手に思っているだけで、PKIの常識ではありません。
逆に、そういう調査を行っていない認証局をデフォルトの信頼できるCAリストに入れておくのはまずいでしょ。信頼できない可能性の方が高いってのに……。
TDBサーバ証明書はウェブサイト運営企業の実在性とウェブサイトの本人性を証明するものであり、その企業の信用度や支払能力までも保証するものではありません。
支払い能力云々は企業間の大規模商取引における信用度調査ってことでしょ。
DNSをハッキングされてたらどういう対処したら良いのでしょう?
証明書なんて、ほとんど意味が無いことは昔からアレゲには常識だったでしょ?
SSL暗号化には対応していますが、企業実在証明には対応しておらず
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
大いなる勘違い (スコア:4, 参考になる)
業界の構造をご存じないようですが、SSLの証明書(暗号化の保証)とそのサイトを運営する企業の実在証明は別の機能です。
批判の対象となっているEquifaxのSSLサービスは現在ではGeotrustがサービスしていますが、 [geotrust.co.jp] GeoTrustのサイト [geotrust.co.jp]を覗いてみると「クイックSSLプレミアム」というサービスはSSL暗号化には対応していますが、企業実在証明には対応しておらず、その機能は「トゥルーサイト」というサービスが受け持っておりますので、そもそも「クイックSSLプレミアム」に企業の実在証明を求めるのは間違いです。 #両者の機能を併せた「トゥルービジネスID」というサービスも別途存在しています。
同様に実在証明を伴わない(確認を行わない)SSLサービスはVerisignの子会社であるThawteにも存在 [thawte.com]しますので、GeoTrust(=Equifax)を責めるのはお門違いかと思います。
Re:大いなる勘違い (スコア:1)
そんな証明書をroot証明書に含めないでもらいたいものです。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:大いなる勘違い (スコア:2, 興味深い)
どこそこのCAは信頼できないから注意しろ。というのはご自由ですが、
どこそこのCAは信頼できないから排除しろ。と言ったりそういうプログラムを配布したり(仮定の話です)するのはちょっと行きすぎだと思いますよ。
CAのroot証明者にどの程度の信頼性を持つかという重み付けは最終的には個人の判断に委ねる。と言うのが現在のCAのモデルであり、
必要なのはCAを認証する我々個人がそのCAが信頼できるかどうか判断するための客観的な情報と正確な知識の普及では無いかと思いますけど。
# 悪人は裏を掻くのが得意なんですから、機械に依存していては寝首掻かれると思いますか…
Re:大いなる勘違い (スコア:1)
デフォルトで信頼済みにするなら電子商取引において信頼できるという保証がないとセキュリティホールになってしまいます。
他でも書きましたが、AT YOUR OWN RISKが基本なら、デフォルトの信頼済みCAリストは空であるべきです。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:大いなる勘違い (スコア:0)
その必要は有りません。リストから自由に削除(or無効化)できれば十分です。
ユーザが「信頼できない機関の証明書だな」と判断したら削除なりなんなりすればいい。
あなたの他のコメントや日記を見ましたが、何でもかんでも All or Nothing なんですね。
「デジタル証明書を電子商取引に使っちゃいかんとうことか」とか。
電子商取引に使えるデジタル証明書もある、というだけの事なのに。
Re:大いなる勘違い (スコア:1)
初期の信頼済みCAリストには接続先の社会的信頼まで調査しているところに限るべきだといってるんですが「CAの仕事は信用調査ではない」の一点張り。(一部のACさんだけだと思いますが、えてしてそういう人がいちばん声が大きいんですよ)
一般ユーザーにもわかる電子商取引に使えるCAを見分ける手段として「信頼済みCAリスト」提供されているものと思ってたんですが、なんか上記のACさんたちの主張ではそうじゃないようで。
そうすると一般ユーザーは電子商取引ができないんですよね。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:大いなる勘違い (スコア:0)
そうでなければ、信頼できない組織であっても「信頼できるかどうか
わからない」という評価しかできません。
相手を認証することと、認証された相手を承認することは次元が異なります。
Re:大いなる勘違い (スコア:0)
akiraaniさんは現状を「信用調査しているところに限られているはず」と認識してるようですが、その根拠は?
>そうすると一般ユーザーは電子商取引ができないんですよね。
また「できない」とか決め付ける。A/Nはやめなさいって。
危険があるだけで、できなくはない。それを以って「at your own risk」と言われてるんですよ。
お、もしや「電子商取引に使えるCAだけが提供されていないと、一般ユーザーは電子商取引ができない」から「電子商取引に使える物だけが提供されているはずだ」と思ってますか?
Re:大いなる勘違い (スコア:0)
Re:大いなる勘違い (スコア:0)
Re:大いなる勘違い (スコア:1)
でないとすれば何か勘違いされているようです。一連のツリーで問題にしているのは「信頼済みCAリストの中にフィッシング詐欺URLに証明書を発行するCAが混じっている」という点だということは認識されていますか?
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:大いなる勘違い (スコア:1)
もういい加減言い飽きたんですが、自分でリスクが判断できるなら「デフォルトで信頼済みリストに追加されているCA」なんて必要ないでしょう?
初期状態で信頼されているということは大多数の一般ユーザーに対しても信用できることが保証されている必要があるんじゃないですか?
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:大いなる勘違い (スコア:0)
で、改めて伺いますが
akiraaniさんは現状を「デフォルトで信頼済みリストに追加されているCAは信用調査しているところに限られているはず」と認識してるようですが、その根拠は?
>なんて必要ないでしょう?
必要とは一言も言ってませんので、言い飽きるほど言わなくても大丈夫です。
>初期状態で信頼されているということは大多数の一般ユーザーに対しても信用できることが保証されている必要があるんじゃないですか?
あると思いますよ。
例えばWindowsで言えば、(MSを信用するなら)保証されていると考えていいでしょう。商取引云々は抜きにして、ですが。
Re:大いなる勘違い (スコア:1)
#なんだかなぁ……。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:大いなる勘違い (スコア:0)
信頼できるCAというのは、ドメイン所有者にしかそのドメイン用の証明書を発行しないことですよ。この手続きでミスを犯すCAだけが、「信頼できないCA」であり、ルートからはずすべきCAです。
そのドメイン所有者が、犯罪者であっても、関係ありません。
「犯罪者に証明書を発行するようなCAは「信頼」できない」とあなたは思っているのかもしれませんが、それはあなたが勝手に思っているだけで、PKIの常識ではありません。
Re:大いなる勘違い (スコア:0)
それで片付けるのであれば、証明書だっていらないし、CAだって存在価値がないよ。
少しでもriskを軽減するために、証明書の価値をもっと高めるために、どうするかって話でしょ。
>「社会的信用についての証明はいらないが身元証明は欲しい」
身元保証になってると思い込んでる人にしか意味がないですがね。
Re:大いなる勘違い (スコア:0)
--
CA やサーバ証明書の役割を勝手に勘違いしておいて「なんだかなぁ」もないもんだと思う
Re:大いなる勘違い (スコア:0)
間違い。
>身元保証になってると思い込んでる人にしか意味がないですがね。
身元は無理だね。
でもルート証明機関がユニークに特定する人と同定できる事には意味が有るでしょ。ていうか元コメント読んだらそれくらい思いつかないか普通。
Re:大いなる勘違い (スコア:0)
それすらも「at your own risk」
あってようが間違ってようが意味無いよ。
Re:大いなる勘違い (スコア:0)
ルート証明機関とやらが信用できると思い込んでる人にとってだけね。
所詮、誰かが認めたナニカに過ぎないでしょ。
Re:大いなる勘違い (スコア:0)
何より直感的でコンピューター不得手の人にも納得できる。窓口からもらったフィンガープリントを自分の手で入力し、それと一致していれば正しいとみなす。
フィンガープリントソリューションを無視するのは、セキュリティ屋の陰謀じゃないかと疑ってしまいます。
Re:大いなる勘違い (スコア:2, すばらしい洞察)
「そのサーバの管理者が信頼できるかどうか」は認証してない。
今回のケースはフィッシング業者が「本物のフィッシングサイトであること」を証明する証明書を取得した。
それだけのこと。
証明書を取得した本物のフィッシング業者が信頼できるかどうかは別の問題。
実在確認があったとしても、実在するフィッシング業者が普通に手続き踏めば取得できそうですけど…
紛らわしいドメインには証明書の発行を規制するなどのルールがないとどうしようもないですよ。
Re:大いなる勘違い (スコア:1, フレームのもと)
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:大いなる勘違い (スコア:0)
Re:大いなる勘違い (スコア:0)
社会的に信頼できるかできないかを見分ける手がかりを与えるものではありません。
Re:大いなる勘違い (スコア:1)
逆に、そういう調査を行っていない認証局をデフォルトの信頼できるCAリストに入れておくのはまずいでしょ。信頼できない可能性の方が高いってのに……。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:大いなる勘違い (スコア:3, 参考になる)
保証していないことを期待されても、帝国データバンクは困ってしまうのではないでしょうか。
Re:大いなる勘違い (スコア:0)
騙されてます。仕組みを変えずに、ないものを求めるのは無理です。
もともとないものにそれ以上の意味を与えるのは危険です。
仮にサービスの提供元にそういうつもりがあったとしても、
それを鵜呑みにして信じてしまってはいけません。
そういう CA の発行した証明書であっても、社会的に信頼できるかどうかの証明はしません。できません。
高い信頼性で身元の正しさを証明するかもしれませんが、A が A であるということと、
A が社会的に信頼できるということの間には何の関係もありません。
Re:大いなる勘違い (スコア:0)
Re:大いなる勘違い (スコア:1)
支払い能力云々は企業間の大規模商取引における信用度調査ってことでしょ。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:大いなる勘違い (スコア:1)
また、正規の手続きでサーバ証明書が発行されたのであれば「申請者の実在性」は証明されていると考えられるのではないでしょうか。
たとえそれが詐欺師であったとしても。
--
それにフィッシング詐欺だけを防げればいいというものでもあるまい
Re:大いなる勘違い (スコア:1)
それに、サーバ証明書を使いたいのは電子商取引のときだけでもないですよ。
Re:大いなる勘違い (スコア:1)
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:大いなる勘違い (スコア:1)
Re:大いなる勘違い (スコア:1)
Re:大いなる勘違い (スコア:1)
DNSをハッキングされてたらどういう対処したら良いのでしょう?
ハッキングコンテストでDNSの攻撃で勝利した話 [srad.jp]が以前ありましたし。
# URLを確認しながら操作をするべきというのは同意します。
李 露星
Re:大いなる勘違い (スコア:2, 参考になる)
SSL/TLSのサーバ認証をパスするのは正当な(私有鍵を持つ)サーバだけですので。
Re:大いなる勘違い (スコア:1, 興味深い)
一般ユーザに対して、「警告が出ても気にせずOK
ボタンを押して続けてください」
かのような教育を施しているのが、国・自治体などの
おれおれ証明書なわけですが。
今回のようなことで、「なんだ、おれおれ証明書も
認証局からもらい証明書も危険は同じじゃん」
ってならないことを祈ります。
Re:大いなる勘違い (スコア:0)
そして、得体の知れない第三者機関などより、国や自治体が証明している(ように見える)方が
信頼度が高いと考えるのは一般人にとって当たり前なんです。
だから、もうどうしようもないんだってば。
Re:大いなる勘違い (スコア:0)
Re:大いなる勘違い (スコア:1, すばらしい洞察)
「完全」にはほど遠いという意味では同意しますが
100%では無いからといって10%も50%も90%もいっしょくたに考えるのはどうなんでしょうか?
> そして、得体の知れない第三者機関などより、国や自治体が証明している(ように見える)方が
> 信頼度が高いと考えるのは一般人にとって当たり前なんです。
中小企業でも信頼性を出すために証明書をとって認証をしたいというニーズは少なくはありませんから
問題点はあれSSLと証明の連鎖は一定の評価と認知度を獲得していると感じています
> だから、もうどうしようもないんだってば
なので証明書の信頼性を増すための話をしても悪くは無いと思いますよ
(その場として /.J がふさわしいかについては触れたくありませんが)
Re:大いなる勘違い (スコア:0)
>> 信頼度が高いと考えるのは一般人にとって当たり前なんです。
>
>中小企業でも信頼性を出すために証明書をとって認証をしたいというニーズは少なくはありませんから
>問題点はあれSSLと証明の連鎖は一定の評価と認知度を獲得していると感じています
残念ながら、一般人にとっては何の意味もなしてませんよ。
誰も一般大衆向けに啓蒙しようともしてないしね。
#講演会やイベントってのは一般大衆向けじゃないよ
Re:大いなる勘違い (スコア:1, すばらしい洞察)
Re:大いなる勘違い (スコア:1, 興味深い)
あと、南アフリカから聞き取りにくい英語で直電かかってきた。一番安いサービスの奴じゃなかったかな。
それに比べるとGeoTrustはヌルすぎ
Re:大いなる勘違い (スコア:1)
実際それで運用してます。
Re:大いなる勘違い (スコア:1)
でも、そもそも暗号ってのは、誰だか判らぬ奴に除かれては嬉しくない情報をやりとりするためのもので、それを言い換えると、ふつう、相手は誰だか判ってるということが暗号の前提になるのでは?
「相手が誰でもいいからとにかく暗号化したい」っていうケースも、もちろんあります (たとえば、エログロ・コンテンツのダウンロードなど)。でもこのようなケースは、どちらかというと例外的でしょう。
iida
Re:大いなる勘違い (スコア:0)
Re:大いなる勘違い (スコア:0)
経路の暗号化と、コンテンツの暗号化は、違います。
純粋に「エログロ・コンテンツのダウンロード」だけなら、SSLで経路を暗号化する必要はなく、コンテンツを暗号化するだけでもいい。
で、鍵交換とコンテンツ暗号化がめんどくさいから、SSLで代用してるだけ。
自信ないのでAC
Re:大いなる勘違い (スコア:0)
よくわからないのが,認証局から認証を受けた証明書は
オレオレ証明書に対してどのような利点があるのでしょうか?
信用でないとすれば,他に何か利点があると思うのですが.
Re:大いなる勘違い (スコア:0)