アカウント名:
パスワード:
もうはっきり区別すればいいんだよ。 単に暗号化したいというだけの人のための仕組みと、暗号化して真っ当に運営したいという人のための仕組みを。 Simple SSLとか適当な新しい名前の規格にしてさ。
どうせ俺々証明書を設置する人は、ちょうどよい仕組みがないからそうしているだけで、そこまでのセキュリティは求めてないんでしょ? 設置者は維持費を削減できて幸せ、消費者も煩わしい警告を減らせて、かつ必要であれば真っ当なサイトと区別は付けられるし幸せ、でみんな幸せでしょ? 成りすましや改竄は防げないけど、パケットが平文で流れるよりかはいくらかマシなんだしさ。
誰でも自由に使える証明機関を一つ作って、そこで認証された証明書はブラウザが特別な証明書だと判断すれば、プロトコル的には手を加えなくてもできそうかな? # ひょっとして、無料で配ってるところは、既にそういう発想でやってるのかな?
単に暗号化したいというだけの人のための仕組みと、暗号化して真っ当に運営したいという人のための仕組みを。
だからー、「単に暗号化したい」そのためには第三者機関(または事前設定)は不可欠なの。何度言われたらわかるの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
SSLに変わる技術が必要 (スコア:0)
問題の根源は認証局に登録する際の費用が高いという点です。
認証局に登録しないとSSLのセキュリティが保てないというのは大きな欠点だと言えます。
これを解決する技術が出てこない限り、オレオレ証明書はなくならないでしょう。
Re:SSLに変わる技術が必要 (スコア:1, 参考になる)
そんなことはありません。オレオレでも証明書が改竄されていないことを確認すれば十分セキュアです。
よく誤解されますが、オレオレ証明はクライアントに対して
「オレの証明書は問題ない」と言い張ることが問題なのではなく、
クライアントの入手した証明書が「オレの証明書」かどうかを検証させないことが問題なのです。
Firefox (スコア:0)
一度証明書を受け入れたら永遠に受け入れ続けるようになったという話を聞いた気がするんですが、
それもこんな理由なんでしょうか。
確かに、一度信頼した証明書と同じ証明書を持っているのなら安全なのかも。
# 見たのは高木浩光さんの日記の20071125のエントリだったかなぁ
Re: (スコア:0)
SSLはオーバースペック (スコア:0, 興味深い)
もうはっきり区別すればいいんだよ。
単に暗号化したいというだけの人のための仕組みと、暗号化して真っ当に運営したいという人のための仕組みを。
Simple SSLとか適当な新しい名前の規格にしてさ。
どうせ俺々証明書を設置する人は、ちょうどよい仕組みがないからそうしているだけで、そこまでのセキュリティは求めてないんでしょ?
設置者は維持費を削減できて幸せ、消費者も煩わしい警告を減らせて、かつ必要であれば真っ当なサイトと区別は付けられるし幸せ、でみんな幸せでしょ?
成りすましや改竄は防げないけど、パケットが平文で流れるよりかはいくらかマシなんだしさ。
誰でも自由に使える証明機関を一つ作って、そこで認証された証明書はブラウザが特別な証明書だと判断すれば、プロトコル的には手を加えなくてもできそうかな?
# ひょっとして、無料で配ってるところは、既にそういう発想でやってるのかな?
Re:SSLはオーバースペック (スコア:2, すばらしい洞察)
送る相手が本当に送りたい相手なのか確かめる術がなければ暗号化に意味などあるものか。
Re: (スコア:0)
サーバーやDNSが偽者だったら筒抜け?そのとおりですよ。
必要だと言っているのは、そこまでのセキュリティは求めていない、http+αでいい人たちのための仕組みですから。
Re: (スコア:0)
だからー、「単に暗号化したい」そのためには第三者機関(または事前設定)は不可欠なの。何度言われたらわかるの?
Re: (スコア:0)
認証局はその暗号化の正当性の保証のためだ。元コメは保証なんざ入らないからとりあえず暗号化しておきたいってことだろ。
Re:SSLはオーバースペック (スコア:1, すばらしい洞察)
○:暗号化したつもりになれれば良い
LANケーブルに「安全」と書いた紙を貼り付けても無いよりマシだと思うんでしょうね、こういう人たちは。
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
何度言われれば分かるんだ?
俺がXと通信しているその最中に、YとかZが中に割って入って内容を取得することはできない。
Xが通信したい相手かどうかは分からんが。
YとかZが、Xに鍵を聞けば分かっても。
それでも、Xとの暗号化通信が始まったら、鍵を知らん奴が傍受したり、中に割り込んで内容取得することはできないだろ?
Re: (スコア:0)
Re: (スコア:0)
ところで、世の中にはオレオレ証明書ってものが存在するのを知ってる?
通信相手が自称xでかまわないという条件下なら、きちんとした認証者は不要なんだよ。
Re: (スコア:0)
○:通信相手が自称xかどうかもわからない
そんな条件下で、誰に対して通信を秘匿したいわけ?
Re: (スコア:0)
この前提がそもそも成立しないってことに気付けよ。
証明書システムがもう限界? (スコア:0)
暗号化されてやりとりされるのは個人情報とは限らない
はっきり言って費用が高い。
とか考えてみると「信頼できるorNOTの二択」というのがもう限界なのかなと。
→無料で取れる簡単証明書で「この相手に個人情報送るな」と明記されるよという条件
→認証局に身元を伝える必要があるし、それなりに費
Re: (スコア:0)
日本語オンラインサポート付きで年間$32 [onlinessl.jp]からあるんだが、それでも高いとか抜かすか。
$32相当の決済も出せないなんてどんな零細企業だよ。
Re:SSLに変わる技術が必要 (スコア:1, 参考になる)
むしろボイコットすべき手合いのものですよ [cocolog-nifty.com]。
Re:SSLに変わる技術が必要 (スコア:1)
Re: (スコア:0)
Re: (スコア:0)
オレオレルート証明書。
カスペルスキーインターネットセキュリティはSSL通信のチェックをするというのがウリになっていますが、その代わり、カスペルスキーラボのルート証明書をインストールする必要があります(´・ω・`)ええ?
Re:SSLに変わる技術が必要 (スコア:1)
そのルート証明書を受け渡す経路が、別の既知のの証明局に証明された安全な経路であれば何の問題もない。
結局IEやFirefoxに入っているルート証明局の証明書だって、MicrosoftやMozilla.orgが推奨する一覧でしかないのだから。
Re: (スコア:0)
署名も確認しないでFirefoxをインストールするとか自殺行為もいいところです。もっともかつて(Firefox 1.0.0まで)は確認しようにもそもそも署名されていませんでした [srad.jp]が。