アカウント名:
パスワード:
信頼できるサイトであれば多くのユーザーが警告メッセージを無視し、信頼できないサイトについては警告に対して慎重な姿勢を取る
そもそも自分がその「信頼できるサイト」相手につないでいるかどうかが疑わしいということを理解していないからこういう行動を取ると思われるわけですが、このためかFirefox 3.5からは
信頼できない接続 (タイトルバーの表示)接続の安全性を確認できません www.example.com に安全に接続するように求められましたが、接続の安全性が確認できませんでした。
のように、サイトではなく接続に問題があるのだということをさらに強調するようなメッセージになりました。接続を続行しようとすると、ダメ押しに
ただし、たとえこのサイトが信頼できるサイトであっても、誰かが通信を改ざんしているからこのエラー
うーん、それでもまだ長くて読めない、という人もいそうですから、「改竄の『可能性があります』」じゃなくて「『たぶん』盗聴されてます」ぐらいにしたほうが良いのかもしれません。
「銀行だから大丈夫だろう」っていうのだから、「銀行やお店などで、この警告が出るのは《異常事態》です」と知らせる必要がありますね。
別に「入手」なんかしなくても、期限切れの証明書なら偽造できますね。現在の暗号は理論上どれも十分に時間さえかければ必ず破れるもので、だからこそ証明書には期限が設けられているわけですから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
Firefox 3.5ではさらに改善されてる (スコア:4, 参考になる)
そもそも自分がその「信頼できるサイト」相手につないでいるかどうかが疑わしいということを理解していないからこういう行動を取ると思われるわけですが、このためかFirefox 3.5からは
のように、サイトではなく接続に問題があるのだということをさらに強調するようなメッセージになりました。接続を続行しようとすると、ダメ押しに
Re: (スコア:5, すばらしい洞察)
うーん、それでもまだ長くて読めない、という人もいそうですから、
「改竄の『可能性があります』」じゃなくて「『たぶん』盗聴されてます」
ぐらいにしたほうが良いのかもしれません。
「銀行だから大丈夫だろう」っていうのだから、
「銀行やお店などで、この警告が出るのは《異常事態》です」
と知らせる必要がありますね。
Re: (スコア:1, 興味深い)
いままでは「良くわからなくても、とりあえず OK ボタン押せばいいんです」という 説明でごまかせるような表示だったかもしれませんが、 明らかに疑問を喚起する作りになっているのであれば とりあえずの目的には合致していると言えるでしょう
Re: (スコア:0)
社内の報告システムで使っていたサーバの証明書が期限切れになりました。orz
自己署名証明書+フィンガープリント紙配布でいいから、対応してくれよ。
お客さんの目に触れないとは限らないものなので、信用を損ねないかとヒヤヒヤです。
現状では全く言い訳のしようが無い。
Re: (スコア:0)
悪意のある誰かが、期限切れの証明書を入手あるいは捏造して偽サーバを構築し、LANケーブルをこっそり差し替えるか何かで偽サーバに繋げさせてるのではないでしょうか。
本当のサーバはきちんと証明書は更新されてるんじゃないですか流石に。
Re:Firefox 3.5ではさらに改善されてる (スコア:2)
正規の証明書をつかった偽サーバのできあがり。
okome
Re: (スコア:0)
別に「入手」なんかしなくても、期限切れの証明書なら偽造できますね。現在の暗号は理論上どれも十分に時間さえかければ必ず破れるもので、だからこそ証明書には期限が設けられているわけですから。
Re: (スコア:0)
Re:Firefox 3.5ではさらに改善されてる (スコア:1, 参考になる)
ちゃんと認証局の署名のついた期限切れ証明書が期限切れて即偽造できるんなら問題でしょうが、十分に時間をかけなければ期限が切れていようがいまいが認証局の証明がついているかいないかぐらい見分けることはできます。
期限切れの証明書なんて作れるなら期限も偽装して作れるはずですが、作れた頃にはブラウザ内のルート証明書や中間証明書の期限が切れてます。中間証明書の期限切れかサーバ証明書の期限切れなのか見ることで偽物かただの期限切れなのかわかります。
それが何年くらいもつのかは、技術の進歩具合によるんでしょう。ルート証明書の期限が目安でしょうか。
サーバの1年更新程度の証明書が数日ぐらい期限超えたものがあっても、わかる人は目くじら立てずに多めに見てもいいんじゃないでしょうかって気分です。
VeriSignの署名付きの偽期限切れ証明書、できそうなら作ってみてください。楽しみです。