アカウント名:
パスワード:
不審なサイトには
その不審なサイトかどうか判別が不可能になるって話でしょ? それとも「未だに証明書のハッシュにMD5を使っているサイト」=「不審なサイト」と定義するんでしょうか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
このコピペいい加減有害だと思う (スコア:5, すばらしい洞察)
その不審なサイトかどうか判別が不可能になるって話でしょ? それとも「未だに証明書のハッシュにMD5を使っているサイト」=「不審なサイト」と定義するんでしょうか。
Re: (スコア:5, すばらしい洞察)
偽のCAは任意のサイトに対して好きなように署名したサイト証明書を発行し放題。
で、たとえばexample.comの偽の証明書を偽のCAで署名して、犠牲者にMITM攻撃をしかけると、
犠牲者からは https://example.com/ [example.com] にアクセスしていてちゃんと認証されているようにしか見えない。
認証チェインを確認すれば怪しいCAが間に入っているのに気づくかもしれないけれど…
これ、ユーザ側で出来ることといったら「未だに証明書のハッシュにMD5を使っているようなCAのルート証明書をブラウザから外す」ことくらいじゃないかなと思うんですが、どうなんでしょ。
Re:このコピペいい加減有害だと思う (スコア:0)
「"未だに証明書にMD5でサインしてしまうCA"のルート証明書をブラウザから外す」
が正しいように思います。
「証明書ハッシュにMD5を使っている」ではなく(充分に問題ではあるが今回の件で
致命的に危殆化したわけではない)、「今後もMD5でサインし続ける」ことがポイントです。
Re: (スコア:0)
その場合、そのrogue CAが署名した偽証明書が不正であることを見抜けないのでは。