パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Firefox 3のSSL対応方針、どう思う?」記事へのコメント

  • by Anonymous Coward
    >全く暗号化されていないサイトへの接続時よりも『安全でない』といった印象を与えるべきではない

    全く暗号化されていないサイトと比べて何が安全なのですか?
    実生活では根拠もなく「安全」「安心」を自称する輩ほど怪しいものはないと感じる今日この頃。
    • by Anonymous Coward

      全く暗号化されていないサイトと比べて何が安全なのですか?

      まったくねえ。
      正規の証明書抜きでは通信路の途中で盗聴する輩(MITM)が排除できない、と何度言っても分かってくれないウチの上司は、どうすればいいやら。
      • Re: (スコア:1, すばらしい洞察)

        by Anonymous Coward
        >正規の証明書抜きでは通信路の途中で盗聴する輩(MITM)が排除できない、
        >と何度言っても分かってくれないウチの上司は、どうすればいいやら。

        Firefoxに最初から入っているルート証明書で確認できる証明書だと
        どうやってMITM攻撃が排除でき、そうではない証明書では排除できないのか
        無知な私には理解できませんでした。

        試しにあなたが上司に説明しているそのままの説明を書いてみて貰えると
        なぜ何度言っても分かってくれないのか分析できるかもしれません。

        • Re: (スコア:2, 参考になる)

          クライアントがsslでサーバと通信するとします。
          本来なら
          [クライアント]<------------------------------------サーバ証明書で暗号化---->[サーバ]
          となりますが、ここで中間者が
          [クライアント]<----偽証明書で暗号化---->[中間者]<---サーバ証明書で暗号化---->[サーバ]
          とします。

          ここでクライアントがサーバ証明書の正しさをルート証明書で確認できるのであれば、すりかえられた/盗聴されたことに気づきます。
          ところがオレオレ証明書の場合、サーバのオレオレ証明書か偽のオレオレ証明書か区別がつきません。
          (厳密にはフィンガープリントとか見ればわかるけど)
          • by Anonymous Coward on 2008年08月07日 2時06分 (#1398584)
            さらに、クライアントが「正しいURL」を知っていることが必要ですね。
            間違ったURLに誘導されて、ルート証明書で確認できる間違ったサーバにアクセスしてしまう可能性もありますから。
            親コメント
            • >間違ったURLに誘導されて、ルート証明書で確認できる間違ったサーバにアクセスしてしまう可能性

              正しい理解ができているか不安なのですが、こういうことであってますか?

              本来の姿
              [クライアント]<-------------認証済みのサーバ証明書(A)で暗号化-------------->[サーバ]

              中間者が存在する場合
              [クライアント]<---認証済みの偽証明書(B)で暗号化--->[中間者]<---(A)で暗号化--->[サーバ]

              (スペース省略のため「ルート証明書で確認できる」を「認証済み」と言い換えています)

              Aは正規のURL(a)に対する証明書、Bはフィッシング用のURL(b)に対する証明書とします。
              この場合Bは所謂「オレオレ証明書」ではないためユーザが(a)を知らないと(b)を正規のURLと思いこみ、
              (b)に対して発行された証明書Bを正当な証明書と勘違いしてしまう……と。
              親コメント
              • by Anonymous Coward
                まあそんな感じ。
                でも(b)に対して発行された証明書Bも正当な証明書であることに違いはありません。
                勘違いは証明書Bの真贋ではなく正規のURL(a)につないだつもりになることです。

                また URL の他にも、証明書に含まれるドメインの管理者名などがヒントになり得ます。
                相手の正式名称を知らなければ仕方ありませんが。

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

処理中...