アカウント名:
パスワード:
一番正しいのはオレオレも弾くってのだろうけど、それはそれで現実的で無いし。
つーか、真っ当な機関なら失効しない様にちゃんとチェックしとけ、ってだけで良いんでない? 失効に対してオレオレ証明も用意しないんであれば、そりゃ見てもらう前提では無いって事で。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
正しいんでは? (スコア:2, 興味深い)
一番正しいのはオレオレも弾くってのだろうけど、それはそれで現実的で無いし。
つーか、真っ当な機関なら失効しない様にちゃんとチェックしとけ、ってだけで良いんでない?
失効に対してオレオレ証明も用意しないんであれば、そりゃ見てもらう前提では無いって事で。
Re:正しいんでは? (スコア:1, フレームのもと)
Re:正しいんでは? (スコア:0)
Re:正しいんでは? (スコア:3, すばらしい洞察)
Re:正しいんでは? (スコア:5, 参考になる)
>暗号化をしてるかもしれない。セキュリティ上何の意味もないです。
はい、確かにその通りです。
しかし
>オレオレ証明書であれば、SSL的には"何も"意味ないですけどね。。。(#1144044 [srad.jp])
は誤りです。
確かに不特定多数が利用するWebサイトでは、信頼できない証明書を用いた
SSL通信にセキュリティ上の効果は認められないと思います。
しかし全てのWebサイトが不特定多数を対象としている訳では有りません。
所謂「オレオレ証明書」はプライベートCAが発行した証明書を指しています。
しかし自らの責任
Re:正しいんでは? (スコア:0)
同じく、これをふまえても高木氏の今回の指摘には賛同できないですけどね。
Re:正しいんでは? (スコア:2, 興味深い)
>区分なぞいろいろ考えてますよ。
はい、それは存じております。
オレオレ証明書というふざけた名前は別として(笑)、
流石に十羽一絡げにはしていないですよね。
>同じく、これをふまえても高木氏の今回の指摘には賛同できないですけどね。
証明書の中身を確認するという事を全て否定されている点とか、
最近の高木さんの指摘は、これ以外にも賛同できない事が多いんですよね…。
ドメインスクワッティングされたドメインでフィッシングサイトを開かれたら、
証明書の内容を確認する以外にどうやって本物かどうか確認する手段が有るのだろう。