パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

IE7の普及でサーバ証明書失効トラブルが続出するかも?」記事へのコメント

  • by Anonymous Coward
    とはいっても、オレオレの場合はオレオレなりに現状も有効な訳で、現状失効した物の方が厳しく弾かれるのは当たり前の様な。

    一番正しいのはオレオレも弾くってのだろうけど、それはそれで現実的で無いし。

    つーか、真っ当な機関なら失効しない様にちゃんとチェックしとけ、ってだけで良いんでない?
    失効に対してオレオレ証明も用意しないんであれば、そりゃ見てもらう前提では無いって事で。

    • Re:正しいんでは? (スコア:1, フレームのもと)

      オレオレ証明書であれば、SSL的には"何も"意味ないですけどね。。。
      • SSL的には「暗号化」という意味があるのでは?
        • Re:正しいんでは? (スコア:3, すばらしい洞察)

          by Anonymous Coward
          通信相手を確認しないなら、man in the middleの盗聴者だけが読めるような暗号化をしてるかもしれない。セキュリティ上何の意味もないです。
          • >通信相手を確認しないなら、man in the middleの盗聴者だけが読めるような
            >暗号化をしてるかもしれない。セキュリティ上何の意味もないです。
            はい、確かにその通りです。

            しかし
            >オレオレ証明書であれば、SSL的には"何も"意味ないですけどね。。。(#1144044 [srad.jp])
            は誤りです。

            確かに不特定多数が利用するWebサイトでは、信頼できない証明書を用いた
            SSL通信にセキュリティ上の効果は認められないと思います。
            しかし全てのWebサイトが不特定多数を対象としている訳では有りません。

            所謂「オレオレ証明書」はプライベートCAが発行した証明書を指しています。
            しかし自らの責任
            • by Anonymous Coward
              >所謂「オレオレ証明書」はプライベートCAが発行した証明書を指しています。
              ここに異議あり。オレオレはプライベートCAが発行していて、なおかつネット経由でそのCAをインストールしてこようとするもの、でしょう。ローカルなマシンに別の手段でインストールするものはオレオレと呼ばれていないはずですが。
              • by Anonymous Coward
                >>所謂「オレオレ証明書」はプライベートCAが発行した証明書を指しています。
                >ここに異議あり。ローカルなマシンに別の手段でインストールするものはオレオレと呼ばれていないはずですが。

                http://takagi-hiromitsu.jp/diary/20051118.html [takagi-hiromitsu.jp]

                この件の大家は第3種に認定していますね
                第4種の一部も含まれるかもしれない

                というわけで異議も認められませんし 意義も認められません
              • by Anonymous Coward
                第三種オレオレ証明書
                不特定多数に利用させることを想定していて、ルート証明書かサーバ証明書をインストールするよう促しており、安全なインストール方法が用意されているもの。
                「安全なインストール方法が用意されている」けれども、インストールしていない状態だから警告が出るわけでしょ?

                その場合は使っちゃ駄目なんだから、やはりブラウザが「そのまま使う 事ができるというのは」間違っているでしょ。

              • >「安全なインストール方法が用意されている」けれども、
                >インストールしていない状態だから警告が出るわけでしょ?

                はい、それは正しいと思います。

                ただし認証局の証明書を一度信頼できる物としてインストールしたら、
                その認証局が発行したサーバ証明書は全て警告が表示されなくなります。
                「その認証局が今後発行される全ての証明書を信頼して良いのか?」という事を
                決断できないのならば、その認証局の証明書はインストールするべきとは思えません。

                # IEでは認証局の証明書を導入する事はできますが、
                # (少なくとも以前のバージョンでは)サーバ証明書を信頼する物として
                # インストールする事はできなかっ
              • by Anonymous Coward
                どうしてこんなに馬鹿なの?

                警告が表示されたとしても、利用者が正しく検証する事ができるのならば 全く問題は有りません。

                逆に警告が表示されないとしても、その証明書が信頼できる物とは限りません。

                絶対的に正しい指標であるとは思いませんし、逆に警告が表示されればNG、 警告が表示されなければOKというのは、明らかに間違った認識だと思います。

                その論理なら、警告は無用の長物。無いほうがいいね?

                馬鹿の典型。勝手に自己陶酔してれば?

              • >その論理なら、警告は無用の長物。無いほうがいいね?

                いいえ、その論理は明らかに間違っています。

                警告が表示されるというのは、安全に対する疑念が生じたために、
                機械が人に対して何らかの判断と行動を促しているのです。
                安全に対して機械が自動的に判断できて、警告が表示されても盲目的に
                人が警告を信用して良いのなら、最初から警告を表示させることなく、
                自動的に安全側へシフトすれば良いのです。違いますか?

                またWebブラウザが警告画面を表示する仕組みを知っていれば、警告画面が
                表示しなければOKという考えが、浅はかであるという事は明白です。

                Webブラウザは大雑把に言えば
                ・受け
              • by uso800server (33535) on 2007年04月18日 20時03分 (#1144682)
                ちなみに
                > 「警告が表示されればNG、 警告が表示されなければOK」という事に対して、
                SSLつーかPKIはそれ以上のことを保証するものなの?

                # ごめんね。この辺勉強したこと無いんだ。
                親コメント
              • by nisiguti (1286) on 2007年04月18日 22時32分 (#1144746)
                PKIがシステムとして提供するのはそれだけだと思います。

                何を信頼するのか、どういう基準で信頼するのかというのは、利用者それぞれの基準で
                判断される物です。ですから自組織で運営する認証局を自分の信頼ポイントとする事は、
                PKIとしては全く問題は有りません。

                ただhttpsに関しては、Webブラウザに予めインストールされている認証局が信頼ポイント
                となっており、利用者が自ら判断した上で信頼するかどうか決定しているとは言えません。
                ですからSSLの場合は例え警告が表示されなかったとしても、本当に自分の基準で信頼
                できる物とは言えないと思います。
                親コメント

Stableって古いって意味だっけ? -- Debian初級

処理中...