アカウント名:
パスワード:
少なくとも、ベリサインはサーバ証明書として実在性を確認していない証明書は発行していませんし、またベリサインのCP/CPSは非常に緻密で十分に信頼に値すると思います。 確かに個人として購入するには高額では有りますが、その運営体制、知名度や安心感といった「ブランド力」を踏まえれば、それが重要であると考える人にはそれだけの価値は有ります。
そんなものには何の意味もありませんよ。誰も確認できませんから。 (その点 EV SSL なら意味がありますが。)
CP/CPSは誰でも確認できます。
そんなものは普通の利用者は確認しないし確認しろと言っても無理です。あなたはここの議論で、実際の運用の現実性も主張の根拠にしているのではありませんでしたか?
またブラウザの「信頼できる認証局」に標準で登録されるためには、WebTrust for CAに準拠する必要が有り、それには監査会社による定期的な外部監査が求められる事になっています。
それらはCAをルートに登録するのを決定するブラウザベンダや、その正しい運用状況を監視する一部の特別ユーザにとって可能になっていることに意味があるものです。
「ブランド力」に価値が有るかどうかは主観に基づくと思います。 しかし販売する商品自体に差異が無いのなら
そのような証明書で一体何を「証明」するというのか、またその「証明」する内容が果たして一般の利用者の「安全」に寄与しているのかと思うと甚だ疑問です。
暗号化通信を実現しているじゃない。そのドメインの所有者との暗号化通信をしていることが証明される。それがSSLの基本機能でしょうが。
実在性を認証していない証明書が警告も表示されずに受け入れられてしまうというのは、ドメインスクワッティングと組み合わせる事で、SSLで暗号化された中間者攻撃を容易に実現できるものです。
ドメインを間違いなく確認する手だてがあればいい話。例えばパスワードマネージャとか。 逆に、実在証明があったところで利用者が何も確認しないんじゃ何も解決しない。
大手サイトがFAQで「このような警告が出たら○○を押してください」と誘導して簡単にスルーされちゃうような仕組みですよね。
最近はそうでもないよ。Firefox 3では簡単にはスルーできなくされたし、IE 7でも派手な警告が出て、スルーしてもその後もアドレスバーが赤くなって警告が出続けるようになった。
逆に仕組み以前に、どういう状態であれば安全(あるいは危険)なのか程度でも理解してる人がどれだけいるんでしょうか?
簡単な話。入力する前にアドレスバーを確認する。そんだけ。
理解してないのはむしろ中途半端な技術知識のある人たちなんじゃないかな。サーバ証明書なんか意味ないとか言い出すような。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
サーバ証明書? (スコア:-1, 荒らし)
Re:サーバ証明書? (スコア:3, 興味深い)
いずれの技術も、巧みなマーケティングと情報操作によって
「必要不可欠なもの」の座を見事に勝ち取った。
必要以上に一般人の不安を煽り、導入していないのは悪だ無謀だとの認識を広め、
一部の企業が莫大な利益を上げている。
たちが悪いのは、「一般的な安全性」のハードルを上げることに成功しているため、
「導入せずとも安全だ」との角度から攻めても絶対に論破できないからである。
現実世界に例えれば、空き巣の被害にあった家庭に対して、
誰もが「セコムしてなきゃ当然だ。」と思うようになってしまったようなもの。
# オフトピであることには変わりないですが・・・
Re:サーバ証明書? (スコア:1)
ネットワークを介した相手がどこの誰なのかを確認したい場合、実在性を正しく認証した上で発行された証明書以外に、ネットワークを介して広く一般的に利用できる方法は存在しません。
『「導入せずとも安全だ」との角度から攻めても絶対に論破できない』のは、『必要以上に一般人の不安を煽り、導入していないのは悪だ無謀だとの認識を広め』ているからではなく、その「導入せずとも安全だ」という主張自体に誤りがあるからです。
Re:サーバ証明書? (スコア:1)
空き巣の被害にあった家庭に対して、
誰もが「鍵をかけてなきゃ当然だ。」と思うようになってしまったようなもの。
ってくらいだと思います。
Re: (スコア:0)
普通の技術仕様を満たした鍵をかけておけば空き巣被害を防げるのに、
ブランド物の鍵でないと空き巣を被害を防げないかのように誇大な宣伝
が蔓延しているのが実態だよ。
Re:サーバ証明書? (スコア:1)
貴方が何の事を言ってるのか判りません。
まず証明書は「普通の技術仕様を満たした鍵をかけておけば空き巣被害を防げる」ような代物では有りません。証明書は文字通り「証明書」であって「鍵」では有りません。鍵の持ち主が「どこの誰なのか」を示す物であり、その書式や意味に関する技術仕様は有っても、「どこの誰なのか」という内容に関する「確からしさ」は技術仕様の範囲外です。
証明書が示す内容については、それぞれの認証局が証明書ポリシー(CP)や認証局運用規程(CPS)によって公開する慣例になっています。少なくとも予めブラウザに「信頼できる認証局」として組み込まれている認証局については、そのCP/CPSが公開されそれに従って運用されている事、また認証局の安全を維持する上で十分な設備を備えている事といった事などが、第三者の監査により証明されている事になっています。
しかしここで重要なのは、CP/CPSで公開された内容に嘘偽りは有りませんという意味で、その認証局は「信頼できる」と言えますが、必ずしも証明書の認証手続きで発行対象の実在性は必須事項ではないという事です。ドメインの到達性を確認した上で証明書を発行するとCP/CPSに謳えば、(EV-SSL証明書でなければ)その「信頼できる認証局」はその認証方針に従った実在性を確認していない証明書を発行できるのです。
そういった証明書を受け取っても、通常はブラウザの警告は表示されません。実在性を確認していない証明書ですから、フィッシングサイトでそれを使えばパスワードなどの機密情報を盗み取る事は十分に可能です。
運用面の重要さを理解されていないのではないでしょうか。「普通の技術仕様を満たした鍵をかけておけば空き巣被害を防げる」というのは、貴方の認識不足です。
少なくとも、ベリサインはサーバ証明書として実在性を確認していない証明書は発行していませんし、またベリサインのCP/CPSは非常に緻密で十分に信頼に値すると思います。
確かに個人として購入するには高額では有りますが、その運営体制、知名度や安心感といった「ブランド力」を踏まえれば、それが重要であると考える人にはそれだけの価値は有ります。
貴方の言うような「誇大な宣伝」ではなく、それだけの実績は有ると思います。
Re: (スコア:0)
そんなものには何の意味もありませんよ。誰も確認できませんから。
(その点 EV SSL なら意味がありますが。)
Re:サーバ証明書? (スコア:1)
CP/CPSは誰でも確認できます。
またブラウザの「信頼できる認証局」に標準で登録されるためには、WebTrust for CAに準拠する必要が有り、それには監査会社による定期的な外部監査が求められる事になっています。
誰も確認できないというのは誤りです。
これらの枠組みは、現在の情報セキュリティの基準として頻繁に登場するBS7799に遡る事ができます。それに意味が有ると感じるか意味が無いと感じるかは本人の主観に依存しますが、「何の意味もありません」と断言する理由が「誰も確認できません」という誤った認識に基づくのなら、ちょっと勉強不足ではないでしょうか。
「ブランド力」に価値が有るかどうかは主観に基づくと思います。
しかし販売する商品自体に差異が無いのならば、それらの商品を差別化する最終的な条件が「ブランド」であるという事を知るべきでしょうね。もちろんブランドが力を持つ事ができるのは、そのブランドを確立するまでの実績が有る事は言うまでも有りません。
> (その点 EV SSL なら意味がありますが。)
なぜEV-SSL証明書なら意味が有るのですか?
EV-SSLは認証方式が標準化されているので、EV-SSLならどの認証局でも同じ認証基準で発行されているのですよ。それこそベリサインでなければならない理由は有りません。
第一、既にきちんと実在性を確認した証明書を使っているのなら、通常のSSL証明書でも相手を確認する手段として十分に条件を満たしています。ベリサインの通常の証明書でも高額すぎるという主張であるにも関わらず、それより遥かに高額なEV-SSLなら良いというのは全く理解できません。
Re: (スコア:0)
そんなものは普通の利用者は確認しないし確認しろと言っても無理です。あなたはここの議論で、実際の運用の現実性も主張の根拠にしているのではありませんでしたか?
それらはCAをルートに登録するのを決定するブラウザベンダや、その正しい運用状況を監視する一部の特別ユーザにとって可能になっていることに意味があるものです。
Re:サーバ証明書? (スコア:1)
はい、仰るとおりです。しかしそれは議論の争点とは何ら関係が有りません。
サーバ証明書が
・意味のない商品(#1481277 [srad.jp])
・必要以上に一般人の不安を煽り、導入していないのは悪だ無謀だとの認識を広め(#1481316 [srad.jp])
・導入せずとも安全(#1481316 [srad.jp])
・普通の技術仕様を満たした鍵をかけておけば空き巣被害を防げる(#1481763 [srad.jp])
・(ベリサインが実在性認証された証明書しか発行していない事、CP/CPSの内容も緻密で信頼に値する事、「ブランド力」が重要であると考える人には価値が有るという事に対して)何の意味もありませんよ。誰も確認できませんから(#1482008 [srad.jp])
という物であるという主張に対する反論ですので、CP/CPSの難解さは全く関係が有りません。
逆に言えば、CP/CPSが難解である事はこれらの主張を肯定する理由にはなりません。
> それらはCAをルートに登録するのを決定するブラウザベンダや、その正しい運用状況を監視する一部の特別ユーザにとって可能になっていることに意味があるものです。
いいえ、それは違います。
然るべき資格を有した第三者による監査を実施するのは、直接の利害関係者だけに意味が有るものではなく、その監査の結果として認定される事柄を利用する全ての人に意味が有る物です。それはWebTrustのような情報セキュリティの監査だけではなく、会計監査やISO関連の監査でも同様に言える事です。
> 一般の利用者が区別しないのですから何の意味もありません。
いいえ、「一般の利用者が区別しない」のではなく「貴方が区別しない」のです。貴方は一般の利用者を代表しません。
また何らかの方法で認証局を区別する事は情報セキュリティの観点からも十分に意味が有る事です。なぜなら、サーバ証明書の信頼度は証明書を発行した認証局の信頼度を超える事は有り得ないからです。自分が信頼していない認証局が発行した証明書を避けるのはPKIを正しく認識した行動と言えますし、少なくとも「区別しない」事は推奨される事では有りません。
またサーバ証明書を利用したページを参照する利用者(検証者)が認証局を区別するかしないかは一概には言えませんが、少なくともサーバ証明書の登録者が、検証者が認証局を区別する可能性を踏まえて、登録先の認証局を区別し選択するのは一般的と言って良いです。サーバ証明書の対象サーバで取り扱う情報が高価であればなおさらの事です。
貴方が認証局を区別しない事は全く否定しませんが、認証局を区別する事が「意味が無い」と思うのは、一般論として通用する話ではなく、貴方の主観に過ぎないと知るべきです。サーバ証明書の市場占有率にそれは現れています。
> 一般の利用者が区別するからです。ブラウザが偽装不能な方法でアドレスバーに緑色で常時表示するからです。
ブラウザは通常のSSL証明書とEV-SSL証明書を区別しますが認証局を区別しません。
> その通りで、認証局にブランド価値があるかのように誤解させる詐欺まがい商法の横行が、EV SSLの登場で粉砕されるのは世の中皆にとって良いことです。
EV-SSLで認証局を区別する事は「意味が有る事」なのですか?
EV-SSLで認証局を区別する事が「粉砕されるのは世の中皆にとって良いこと」なのですか?
「意味が有る事」であるにも関わらず「粉砕されるのは世の中皆にとって良いこと」というのは、一体どういう論理なのか、支離滅裂で何を主張しているのか全く理解できません。
それとも通常のSSL証明書は「意味が無い事」であり、EV-SSL証明書は「意味が有る事」だという主張ですか?
しかしEV-SSL証明書を発行できる認証局は、通常のSSL証明書を発行できる認証局より、遥かに厳格な運営と設備が必要となります。EV-SSL証明書を発行できる一部の体力の有る認証局だけに選択肢は限られてきますし、通常のSSL証明書より遥かに高額な証明書ですから、より「ブランド力」は重視されるでしょう。仮にEV-SSL証明書が採算に合うとしたら、ベリサインだけになるように感じます。
もし、実在性認証された通常のSSL証明書は「意味が無い事」であり、EV-SSL証明書は「意味が有る事」であると貴方が感じているのなら、それこそ「EV-SSLに価値があるかのように誤解させる詐欺まがい商法の横行」が有るのではないかと感じますね。
Re: (スコア:0)
これはどうかと思います。
情報セキュリティ絡みの仕事をしていますが、実際問題、まだまだ全然、
この手の仕事ができる人や企業は少なすぎると思います。
「被害にあったのでどうにかしたい」という人は、増える一方で減る気配すらありません。
正直な所、業界は正直なデータを出してるにも関わらず、一般の人(もちろん
大半は被害を受けた事が無い、しかし母数が圧倒的に大きい)からは、それでも
「狼少年」扱いされている、というのが現状です。
一般の人からすれば交通事故に当たる程度の確率かもしれませんが、
病院が圧倒的に少ない、という状況でしょうか。
Re: (スコア:0)
治療をしてくれない病院が多いのかと
Re: (スコア:0)
> 「狼少年」扱いされている、というのが現状
データは正直でも、導入・運営ノウハウまで売り物にしちゃうと、うさん臭く思われるのは仕方がないと思う。ノウハウが売れるというのは、内容が一般的に知られていないわけで。ブラックボックスの値段が正当かどうかというのは判断しにくいから。ドメイン取るぐらいの気軽さになれば、解消されるんじゃないですか。
Re:サーバ証明書? (スコア:1)
ただしドメインを取る位の安全性しか担保されていませんから、Whoisに書かれた内容が信頼できるか否かという程度の安全性でしか有りません。
安全はタダでは有りません。当然ですね。
ちなみに、そのような証明書で一体何を「証明」するというのか、またその「証明」する内容が果たして一般の利用者の「安全」に寄与しているのかと思うと甚だ疑問です。
実在性を認証していない証明書が警告も表示されずに受け入れられてしまうというのは、ドメインスクワッティングと組み合わせる事で、SSLで暗号化された中間者攻撃を容易に実現できるものです。証明書を取得する「費用」だけが攻撃者がその方法を取らない唯一の理由であり、攻撃者が期待する「利益」がその「費用」より大きいのなら、そのような証明書の存在は利用者の「安全」に寄与するどころか、むしろ「危険」に曝しているに過ぎないと思います。
Re: (スコア:0)
暗号化通信を実現しているじゃない。そのドメインの所有者との暗号化通信をしていることが証明される。それがSSLの基本機能でしょうが。
ドメインを間違いなく確認する手だてがあればいい話。例えばパスワードマネージャとか。
逆に、実在証明があったところで利用者が何も確認しないんじゃ何も解決しない。
Re:サーバ証明書? (スコア:1)
> 暗号化通信を実現しているじゃない。そのドメインの所有者との暗号化通信をしていることが証明される。それがSSLの基本機能でしょうが。
いいえ、それは違います。
まず一般に実在性を認証したサーバ証明書の発行対象はドメイン所有者では「ありません」。そのドメインを利用したWebサイトの運営主体となっている個人や団体です。
つまりexample.jpのドメイン登録者がnisigutiで、example.jpのドメイン名を使って/.Jが運営されているとすると、そのサーバ証明書の発行対象は/.Jであってnisigutiでは有りません。
またドメインの到達性を認証したサーバ証明書の発行対象もドメイン所有者では「ありません」。あくまでもその「ドメイン」であって、実際にはWhoisに登録者として記載された人物とは別の人かも知れません。Whois情報に正しい情報を記載するのはあくまでも紳士協定的な物であって、実在性確認をした証明書とは、信頼度は全く異なるものです。
Re: (スコア:0)
それすら証明できなくなるんですよ、
ドメインの所有者かどうかも確認せずに証明書が発行されるようじゃ。
これはフィッシングサイトに対して正規に発行される証明書よりも、ずっと深刻な問題ですよ。
Re: (スコア:0)
いや、だから、今回のは事件なんでしょ。あってはならないことが起きた。
あるべき仕様の話と、起きてしまった事故の話の区別くらいしようよ。
Re:サーバ証明書? (スコア:1)
> あるべき仕様の話と、起きてしまった事故の話の区別くらいしようよ。
どうも議論が噛み合いませんね。
話の流れを見て頂ければ判ると思いますが、私の(#1481674 [srad.jp])は、その話とは直接繋がった話では有りません。
一部認証局がマッチポンプの如く不安を煽り不必要な証明書を販売しているのが実情である(#1481316 [srad.jp])という主張がなされ、その流れでそのような「胡散臭さ」は
> ドメイン取るぐらいの気軽さになれば、解消されるんじゃないですか。(#1481641 [srad.jp])
というような主張がなされたので、私はそのような気軽さで発行されるような証明書では、実際に安全を担保する事など不可能であるという反論をしています。
ドメインを取る位の気軽さで発行される証明書では、実在性を確認するような人の手を介さなければならない手間隙を掛ける事は、時間的にも経済的にも不可能です。根拠の無い「胡散臭さ」を解消するために、実在性を確認しない証明書を発行するというのは、本末転倒としか思えません。
例えばドメインを取る位の気軽さでwww.example.jpという証明書が発行されたとして、そのexample.jpというドメインの登録者がexample.comのドメイン登録者と同じだとしたら、その証明書を受け取った人はexample.jpとexample.comの同一性にはあまり疑いを持たないでしょう。
しかしexample.jpのWhoisに記載されている情報には嘘や偽りが含まれていないという保証はどこにも無いのです。example.comを攻撃目標とした攻撃者がexample.jpを取得しているかも知れない訳で、example.jpがexample.comの中間者攻撃に用いられているとしても、それをどうやって判断できるのですか?
今回の問題は、www.mozilla.comというサーバ用の証明書が、そのドメインの持ち主でない人に対して何の認証もされないまま発行されたという事です。(そういう話ですよね)
ですから、www.mozilla.comにアクセスした時に何の警告も表示されずにwww.mozilla.comの証明書を受け取ったとしても、利用者の名前解決に細工がされていれば、それはwww.mozilla.comに見せかけた攻撃者のサイトであるかも知れない、そして利用者が注意深くともそれを見破る事ができないという問題です。
私が意図している事は、ドメイン名の不正取得を利用した話であり、今回の件は不十分な認証で証明書が発行されたという事ですから、確かに両者は同じでは有りません。また前者は注意深く見れば「怪しさ」に気付くかも知れませんが、後者は注意深く見ても「怪しさ」に気付く事は難しいという違いは有るでしょう。
しかし殆どの利用者にとって、どちらも「難しくて判らない」という事に違いは無いのですから、一般の利用者に対する危険性は何ら変わりないと思います。むしろ前者は後者のように証明書が失効される事は無いのですから、前者の方が容易に実現できる上に後者より被害が大きくなる可能性も秘めていると思います。
Re: (スコア:0)
ここらへん、非常に共感できるなぁ。
しかし、ネットの問題、というか怖いところはたとえば、
Re:サーバ証明書? (スコア:1)
サーバ証明書とは、どのような仕組みでセキュリティを確保する物なのか、ご存知ではないのではないですか?
Re:サーバ証明書? (スコア:1, すばらしい洞察)
逆に仕組み以前に、どういう状態であれば安全(あるいは危険)なのか程度でも理解してる人がどれだけいるんでしょうか?
全体的なリテラシーの向上がない限り、どれだけ高度な仕組みがあったところでお飾りにしかならないのは事実だと思います。
Re:サーバ証明書? (スコア:1, 参考になる)
最近はそうでもないよ。Firefox 3では簡単にはスルーできなくされたし、IE 7でも派手な警告が出て、スルーしてもその後もアドレスバーが赤くなって警告が出続けるようになった。
簡単な話。入力する前にアドレスバーを確認する。そんだけ。
理解してないのはむしろ中途半端な技術知識のある人たちなんじゃないかな。サーバ証明書なんか意味ないとか言い出すような。
Re: (スコア:0)
それ以外に大した違いは発生しません。慣れれば面倒であったことも忘れられます。
Re:サーバ証明書? (スコア:1)
安全は技術面だけでなく運用面も含めて考えなければ確保する事はできません。
それはサーバ証明書の問題ではなく、あらゆる「安全」に対する一般的な法則に過ぎません。
Re:サーバ証明書? (スコア:1)
>程度でも理解してる人がどれだけいるんでしょうか?
>全体的なリテラシーの向上がない限り、どれだけ高度な仕組みがあったところで
>お飾りにしかならないのは事実だと思います。
自分を守るために下調べをした人はそれなりに安全が確保されています。
複雑で高度な仕組みも全く無駄では有りません。
ただし、グダグダなサイトがSSLを使用しただけで安全だと喧伝するせいで、
一般的なユーザが、危険な目に遭う確率は昔より上がってしまったかもしれません。
最低限(ただし、どんどんレベルが上がる)の知識なしで、
世の中を渡るのが危険なのは昔から変わっていないし、
変えることができないのは当然だと思います。
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
つまりだ、そもそも「ウィルスと対策ソフトと作者が同じ」って事に意味が無いんじゃないか?
Re: (スコア:0)
Re:サーバ証明書? (スコア:1)
アンチウイルスを名乗る以上、『自分が作ったものでないウイルスにも対応する必要がある』とか考えませんでしたか?
それはもう、ちょっとやそっと自作自演で泡銭稼いだくらいではとても割に合わない目に遭うこと請け合いです。
試しにやってみては?
# きょうび特定の1種類にしか対応しないようなアンチウイルスでは見向きもされないでしょうし。
## っつーかそれ『自作自演です』って言ってるようなもんだろうが。
Re: (スコア:0)
馬鹿をだますだけなら実際に何かを検出できる必要すらありませんよ。