アカウント名:
パスワード:
> こういったメールアドレスをユーザーが取得> できてしまうと、第三者が勝手にそのドメイン> でのSSL証明書を入手できる可能性がある。
第三者が取得できるとなにが危険なんですか?
EV-SSLのようにサーバーまでを保証しようとするならば第三者を保証してほしくないけど、
単にセキュア通信のためのSSLなら第三者が取得したからともともと以上の危険はないんじゃない?
「セキュアな通信」を本来想定している通信相手以外に行ってしまったらそれはセキュアな通信じゃないんですが…君、証明書に関する警告が出ても一切無視するタイプでしょ?
取得だけされてもねぇ・・・wその証明書を利用するためには、第2段階が必要。(DNSポイゾニングや正規のウェブサーバーに侵入してインストールしなきゃならん)
example.comがフリーメールアドレスを取れるサービスを提供していたとして、「危ないからadmin、administrator、webmaster、hostmasterは取れないようにしておこう」としていたけど、「sslwebmaster」は弾いていなくて、そうするとBuyHTTPでは「sslwebmaster@example.com」でSSL証明書が取得できてしまう、という話ですよね。
で、取得したexample.comの証明書で悪さしようとした場合にはDNSポイゾニングで自分のサーバにアクセスさせるか、正規のexample.comサーバに仕込まないとだめだ、と#2789816は言いたいのではないでしょうか。
> DNSポイゾニングで自分のサーバにアクセスさせるか、正規のexample.comサーバに仕込まないとだめだ、と
後者はともかく、前者を想定しないのなら、PKIそのものが不要。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
んで、 (スコア:0)
> こういったメールアドレスをユーザーが取得
> できてしまうと、第三者が勝手にそのドメイン
> でのSSL証明書を入手できる可能性がある。
第三者が取得できるとなにが危険なんですか?
EV-SSLのようにサーバーまでを保証しようとする
ならば第三者を保証してほしくないけど、
単にセキュア通信のためのSSLなら第三者が取得
したからともともと以上の危険はないんじゃない?
Re: (スコア:0)
「セキュアな通信」を本来想定している通信相手以外に行ってしまったら
それはセキュアな通信じゃないんですが…
君、証明書に関する警告が出ても一切無視するタイプでしょ?
Re: (スコア:0)
取得だけされてもねぇ・・・w
その証明書を利用するためには、第2段階が必要。(DNSポイゾニングや正規のウェブサーバーに侵入してインストールしなきゃならん)
Re: (スコア:0)
example.comがフリーメールアドレスを取れるサービスを提供していたとして、
「危ないからadmin、administrator、webmaster、hostmasterは取れないようにしておこう」
としていたけど、「sslwebmaster」は弾いていなくて、そうすると
BuyHTTPでは「sslwebmaster@example.com」でSSL証明書が取得できてしまう、という話ですよね。
で、取得したexample.comの証明書で悪さしようとした場合にはDNSポイゾニングで
自分のサーバにアクセスさせるか、正規のexample.comサーバに仕込まないとだめだ、と
#2789816は言いたいのではないでしょうか。
Re:んで、 (スコア:0)
> DNSポイゾニングで自分のサーバにアクセスさせるか、正規のexample.comサーバに仕込まないとだめだ、と
後者はともかく、前者を想定しないのなら、PKIそのものが不要。