パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

IE7の普及でサーバ証明書失効トラブルが続出するかも?」記事へのコメント

  • by Anonymous Coward
    とはいっても、オレオレの場合はオレオレなりに現状も有効な訳で、現状失効した物の方が厳しく弾かれるのは当たり前の様な。

    一番正しいのはオレオレも弾くってのだろうけど、それはそれで現実的で無いし。

    つーか、真っ当な機関なら失効しない様にちゃんとチェックしとけ、ってだけで良いんでない?
    失効に対してオレオレ証明も用意しないんであれば、そりゃ見てもらう前提では無いって事で。

    • Re:正しいんでは? (スコア:1, フレームのもと)

      オレオレ証明書であれば、SSL的には"何も"意味ないですけどね。。。
      • SSL的には「暗号化」という意味があるのでは?
        • Re:正しいんでは? (スコア:3, すばらしい洞察)

          by Anonymous Coward
          通信相手を確認しないなら、man in the middleの盗聴者だけが読めるような暗号化をしてるかもしれない。セキュリティ上何の意味もないです。
          • >通信相手を確認しないなら、man in the middleの盗聴者だけが読めるような
            >暗号化をしてるかもしれない。セキュリティ上何の意味もないです。
            はい、確かにその通りです。

            しかし
            >オレオレ証明書であれば、SSL的には"何も"意味ないですけどね。。。(#1144044 [srad.jp])
            は誤りです。

            確かに不特定多数が利用するWebサイトでは、信頼できない証明書を用いた
            SSL通信にセキュリティ上の効果は認められないと思います。
            しかし全てのWebサイトが不特定多数を対象としている訳では有りません。

            所謂「オレオレ証明書」はプライベートCAが発行した証明書を指しています。
            しかし自らの責任
            • by Anonymous Coward
              >所謂「オレオレ証明書」はプライベートCAが発行した証明書を指しています。
              ここに異議あり。オレオレはプライベートCAが発行していて、なおかつネット経由でそのCAをインストールしてこようとするもの、でしょう。ローカルなマシンに別の手段でインストールするものはオレオレと呼ばれていないはずですが。
              • by Anonymous Coward
                >>所謂「オレオレ証明書」はプライベートCAが発行した証明書を指しています。
                >ここに異議あり。ローカルなマシンに別の手段でインストールするものはオレオレと呼ばれていないはずですが。

                http://takagi-hiromitsu.jp/diary/20051118.html [takagi-hiromitsu.jp]

                この件の大家は第3種に認定していますね
                第4種の一部も含まれるかもしれない

                というわけで異議も認められませんし 意義も認められません
              • by Anonymous Coward
                第三種オレオレ証明書
                不特定多数に利用させることを想定していて、ルート証明書かサーバ証明書をインストールするよう促しており、安全なインストール方法が用意されているもの。
                「安全なインストール方法が用意されている」けれども、インストールしていない状態だから警告が出るわけでしょ?

                その場合は使っちゃ駄目なんだから、やはりブラウザが「そのまま使う 事ができるというのは」間違っているでしょ。

              • >「安全なインストール方法が用意されている」けれども、
                >インストールしていない状態だから警告が出るわけでしょ?

                はい、それは正しいと思います。

                ただし認証局の証明書を一度信頼できる物としてインストールしたら、
                その認証局が発行したサーバ証明書は全て警告が表示されなくなります。
                「その認証局が今後発行される全ての証明書を信頼して良いのか?」という事を
                決断できないのならば、その認証局の証明書はインストールするべきとは思えません。

                # IEでは認証局の証明書を導入する事はできますが、
                # (少なくとも以前のバージョンでは)サーバ証明書を信頼する物として
                # インストールする事はできなかっ
              • by Anonymous Coward
                どうしてこんなに馬鹿なの?

                警告が表示されたとしても、利用者が正しく検証する事ができるのならば 全く問題は有りません。

                逆に警告が表示されないとしても、その証明書が信頼できる物とは限りません。

                絶対的に正しい指標であるとは思いませんし、逆に警告が表示されればNG、 警告が表示されなければOKというのは、明らかに間違った認識だと思います。

                その論理なら、警告は無用の長物。無いほうがいいね?

                馬鹿の典型。勝手に自己陶酔してれば?

              • by nisiguti (1286) on 2007年04月18日 10時46分 (#1144393)
                >その論理なら、警告は無用の長物。無いほうがいいね?

                いいえ、その論理は明らかに間違っています。

                警告が表示されるというのは、安全に対する疑念が生じたために、
                機械が人に対して何らかの判断と行動を促しているのです。
                安全に対して機械が自動的に判断できて、警告が表示されても盲目的に
                人が警告を信用して良いのなら、最初から警告を表示させることなく、
                自動的に安全側へシフトすれば良いのです。違いますか?

                またWebブラウザが警告画面を表示する仕組みを知っていれば、警告画面が
                表示しなければOKという考えが、浅はかであるという事は明白です。

                Webブラウザは大雑把に言えば
                ・受け取った証明書に記載されたドメイン名が一致する(サーバ証明書のみ)
                ・受け取った証明書の電子署名を検証
                ・受け取った証明書の有効期限を検証
                ・受け取った証明書の失効情報を検証←これが今回の話題
                という事をサーバ証明書とそれを発行した認証局の証明書に対して実施し、
                その検証パスがWebブラウザが認識している信頼ポイントまで全てきちんと
                到達できた場合にその証明書を受け入れ、何れかに失敗した場合に警告が
                表示されます。
                # 何か忘れていないかな…

                Webブラウザが認識している信頼ポイントとは、Webブラウザにインストール
                されている認証局の証明書の事を指します。Webブラウザにインストール
                されている認証局とは、原則としてWebTrast for CAという認証を取得した
                認証局です。
                WebTrast for CAの認証を取得するためには、認証運用規程の公開やその遵守、
                監査の実施など様々な事項に合格しなければなりませんが、証明書を発行する
                対象を実在する法人/個人に限るとは定められていないはずです。
                それは認証局が自ら定め認証運用規程で公開しなければなりませんが、その
                認証方針が信頼に足るかどうかを判断するのは利用者に委ねられているはずです。
                # 間違っていれば指摘して下さい。
                # <余談>
                # この辺りの認証方針を明確に定め、間違いなく実在する法人に対して
                # 発行された事を保障するのが、EVSSL証明書という訳です。
                # </余談>

                つまりWebブラウザが表示する警告画面とは、公開鍵証明書のデータに対して
                信頼ポイントからの信頼チェーンに不整合が生じているという事が表示される
                だけです。その証明書がどのような認証方針に従い発行されたのかという事は、
                全く検証されません。

                あなたがhttpsであるWebサイトを参照したとします。
                Webページには自分がアクセスしようとした会社の名前が記載されています。
                警告画面は表示されませんでした。
                しかしもしあなたが「これなら大丈夫だ」と判断したのなら、フィッシング
                サイトに騙される恐れは十分に考えられると思います。
                なぜならそのページで用いられた証明書が、正しく実在する個人/法人に対して
                発行されたとは限りません。確かにそのサイトのドメイン名と証明書は一致して
                いますが、そのWebサイトが本当にWebページに表示された会社が運営している
                とは限りませんし、たとえWhois情報を確認したとしても、Whoisではドメイン名
                の登録者は表示されても、運営者までは表示されません。

                >馬鹿の典型。勝手に自己陶酔してれば?

                私が「馬鹿の典型」だと仰るのでしたら、
                「警告が表示されればNG、 警告が表示されなければOK」という事に対して、
                具体的な根拠を示して下さい。
                親コメント
              • by uso800server (33535) on 2007年04月18日 20時03分 (#1144682)
                ちなみに
                > 「警告が表示されればNG、 警告が表示されなければOK」という事に対して、
                SSLつーかPKIはそれ以上のことを保証するものなの?

                # ごめんね。この辺勉強したこと無いんだ。
                親コメント
              • by nisiguti (1286) on 2007年04月18日 22時32分 (#1144746)
                PKIがシステムとして提供するのはそれだけだと思います。

                何を信頼するのか、どういう基準で信頼するのかというのは、利用者それぞれの基準で
                判断される物です。ですから自組織で運営する認証局を自分の信頼ポイントとする事は、
                PKIとしては全く問題は有りません。

                ただhttpsに関しては、Webブラウザに予めインストールされている認証局が信頼ポイント
                となっており、利用者が自ら判断した上で信頼するかどうか決定しているとは言えません。
                ですからSSLの場合は例え警告が表示されなかったとしても、本当に自分の基準で信頼
                できる物とは言えないと思います。
                親コメント

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...