Re:Firefox 3.5ではさらに改善されてる (#1613475) | ブラウザの「SSL証明書が無効」という警告、5割以上のユーザーが無視

「ブラウザの「SSL証明書が無効」という警告、5割以上のユーザーが無視」記事へのコメント

記事ページを表示すべてのコメント取得

検索80コメント Log In/Create an Account

Firefox 3.5ではさらに改善されてる (スコア:4, 参考になる)

by Anonymous Coward

信頼できるサイトであれば多くのユーザーが警告メッセージを無視し、信頼できないサイトについては警告に対して慎重な姿勢を取る

そもそも自分がその「信頼できるサイト」相手につないでいるかどうかが疑わしいということを理解していないからこういう行動を取ると思われるわけですが、このためかFirefox 3.5からは
信頼できない接続 (タイトルバーの表示)
接続の安全性を確認できません
www.example.com に安全に接続するように求められましたが、接続の安全性が確認できませんでした。
のように、サイトではなく接続に問題があるのだということをさらに強調するようなメッセージになりました。接続を続行しようとすると、ダメ押しに
ただし、たとえこのサイトが信頼できるサイトであっても、誰かが通信を改ざんしているからこのエラー
- Re: (スコア:5, すばらしい洞察)
  
  by Anonymous Coward
  
  うーん、それでもまだ長くて読めない、という人もいそうですから、
  「改竄の『可能性があります』」じゃなくて「『たぶん』盗聴されてます」
  ぐらいにしたほうが良いのかもしれません。
  「銀行だから大丈夫だろう」っていうのだから、
  「銀行やお店などで、この警告が出るのは《異常事態》です」
  と知らせる必要がありますね。
  - Re: (スコア:1, 興味深い)
    
    by Anonymous Coward
    
    銀行サイトとかについては、中の部長とかのエライ人が「これは何だね?」「ユーザーが疑問に思って当行の信用に関わるんじゃ?」と疑問に思う状況を作れば「それは早急に修正しなさい」ってなるんじゃないかな?
    
    いままでは「良くわからなくても、とりあえず OK ボタン押せばいいんです」という説明でごまかせるような表示だったかもしれませんが、明らかに疑問を喚起する作りになっているのであればとりあえずの目的には合致していると言えるでしょう
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      IE8も誤魔化しの効かない表示になって喜ばしい限りなのですが、
      
      社内の報告システムで使っていたサーバの証明書が期限切れになりました。orz
      
      自己署名証明書＋フィンガープリント紙配布でいいから、対応してくれよ。
      お客さんの目に触れないとは限らないものなので、信用を損ねないかとヒヤヒヤです。
      現状では全く言い訳のしようが無い。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        それは本当に社内サーバの問題ですか？
        
        悪意のある誰かが、期限切れの証明書を入手あるいは捏造して偽サーバを構築し、LANケーブルをこっそり差し替えるか何かで偽サーバに繋げさせてるのではないでしょうか。
        本当のサーバはきちんと証明書は更新されてるんじゃないですか流石に。
        
        Re:Firefox 3.5ではさらに改善されてる (スコア:2)
        
        by okome (1916) <okomeNO@SPAMsiisise.net> on 2009年07月28日 22時52分 (#1613475) ホームページ日記
        
        偽の証明書ではなく期限切れの証明書(の秘密鍵)が入手できるのなら、正規の証明書(の秘密鍵)も同じように入手できそうです。
        正規の証明書をつかった偽サーバのできあがり。
        
        --
        okome
        
        シェア
        
        親コメント
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        別に「入手」なんかしなくても、期限切れの証明書なら偽造できますね。現在の暗号は理論上どれも十分に時間さえかければ必ず破れるもので、だからこそ証明書には期限が設けられているわけですから。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        通信内容を記録しておいて、破られた後に解読されることってただの有効期限では想定されていませんね。
        
        Re:Firefox 3.5ではさらに改善されてる (スコア:1, 参考になる)
        
        by Anonymous Coward on 2009年07月29日 2時29分 (#1613588)
        
        期限切れだから即偽造できるというものでもないですよね。残念ながらSSLの証明書は階層化されてます。
        
        ちゃんと認証局の署名のついた期限切れ証明書が期限切れて即偽造できるんなら問題でしょうが、十分に時間をかけなければ期限が切れていようがいまいが認証局の証明がついているかいないかぐらい見分けることはできます。
        期限切れの証明書なんて作れるなら期限も偽装して作れるはずですが、作れた頃にはブラウザ内のルート証明書や中間証明書の期限が切れてます。中間証明書の期限切れかサーバ証明書の期限切れなのか見ることで偽物かただの期限切れなのかわかります。
        
        それが何年くらいもつのかは、技術の進歩具合によるんでしょう。ルート証明書の期限が目安でしょうか。
        サーバの1年更新程度の証明書が数日ぐらい期限超えたものがあっても、わかる人は目くじら立てずに多めに見てもいいんじゃないでしょうかって気分です。
        VeriSignの署名付きの偽期限切れ証明書、できそうなら作ってみてください。楽しみです。
        
        シェア
        
        親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

ブラウザの「SSL証明書が無効」という警告、5割以上のユーザーが無視 More ログイン

「ブラウザの「SSL証明書が無効」という警告、5割以上のユーザーが無視」記事へのコメント

Firefox 3.5ではさらに改善されてる (スコア:4, 参考になる)

Re: (スコア:5, すばらしい洞察)

Re: (スコア:1, 興味深い)

Re: (スコア:0)

Re: (スコア:0)

Re:Firefox 3.5ではさらに改善されてる (スコア:2)

Re: (スコア:0)

Re: (スコア:0)

Re:Firefox 3.5ではさらに改善されてる (スコア:1, 参考になる)

スラド