パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ChromeのHTTP警告を報じるニュースサイト、HTTPSに非対応でツッコまれる」記事へのコメント

  • by Anonymous Coward on 2018年07月30日 17時20分 (#3451858)

    よく使われているルート証明書に問題が起きて
    無効化されたときに、閲覧内容の盗聴防止目的程度のものも証明書警告が出てアクセス不能に陥り(最近は素人じゃ証明書警告を無視して開くことも難しい)
    インターネットが大規模な機能不全に陥りかねないから
    両方用意されてた方がいいと思う

    パスワードやクレジットカードを入力するようなとこはそういうときにアクセス不能になるのもやむを得ないけど

    • 古いパソコンではアクセスできないサイトが急に増えたから
      貧乏人閉め出しと理解している。

      --
      the.ACount
      親コメント
      • by Anonymous Coward

        古いコンピュータのOSやブラウザやプロトコルスタックでは新しい安全な暗号やハッシュ関数がサポートされていないからであって、
        あなたが貧乏で現代的なコンピュータを購入できない件とは全くの独立の事象です

    • by Anonymous Coward

      普通はhttpでもアクセスできるようにしてるだろうけど、https対応したからってhttpsにリダイレクトで飛ばすところも増えてそうだな。
      HSTSだとhttps固定にするけど、httpsの証明書ダメになった時にhttpへのアクセスもさせないよね、たぶん・・

    • by Anonymous Coward

      しかし、例えばhttpの大手ニュースサイトに
      「ルート証明書に問題発生、各所で証明書のエラーが出ますが無視して続行してください」
      と出ていたとして、そのニュースが正しいサーバーから返されたものだと何をもって担保すればいいのかという疑問が。

      ドメイン見たところで、通信経路で改竄されている可能性だってあるわけで、そのニュースを信じるためには結局httpsが必要でしょう。

      • by Anonymous Coward on 2018年07月31日 1時33分 (#3452201)

        そもそも「無視して続行してください」なんて言ってしまう時点で、そんなサイトは信用に値しないだろw

        親コメント
        • by Anonymous Coward

          昔、銀行だか省庁のサイトで警告がでるけど無視して続行してください的な事をサイトのヘルプに書いてた所があったような

          • by Anonymous Coward

            そのサイトが信用に値するとでも?

            • by Anonymous Coward

              最高裁判所すら言ってた [takagi-hiromitsu.jp]ので…

              「脆弱性のあるJREを更新するな」とかも電子入札とかでは今でも言ってるところがある [pref.gifu.jp]位。
              電子政府関連のは大体全部が一度はやらかしているんじゃないかね……

              • by Anonymous Coward

                権威があるかどうかと、信用して利用できるサービスかどうかには何の関係もない。
                むしろ権威があればあるほど、改竄や成りすましで攻撃を狙う者からすると魅力が高い。

              • by Anonymous Coward

                「信用がおける運用になっていなければまずい組織」が
                「信用がおける運用になっていない」という話ですよ。

      • by Anonymous Coward

        そんな時なら信頼性の低いソースとして自分なりに吟味すりゃいいでしょ。
        「https最高!」って思考停止する必要はない。

        • by Anonymous Coward

          普通の人は吟味できないので。

          • by Anonymous Coward

            「お前たちには吟味できないだろうから一律全部見せません。」というのが正しいとは思わないし、押し付けがましいと思う。
            「政治的に有害な情報なので見せません。有害かどうかは国が判断します」というのと大差ない。

          • by Anonymous Coward

            ほらまた思考停止。

    • by Anonymous Coward

      こういう障害に対する代替策はないの?
      例えば、ルート証明書を複数持てたり、1つのWebサイトに対して複数の証明書を付けたりしておくようにすれば、冗長性を持たせられると思うけど。

    • by Anonymous Coward

      Windows Updateでルート証明書を入れ替えれば無問題では。(時々やっているし)
      ちゃんとしたルート認証局の秘密鍵は、普通はきちんとした耐タンパハードウェアで運用する等の保護策が必須条件のはずなので、ご指摘の問題がそもそも起きないはずではあるのすが。

      • by Anonymous Coward

        問題が起きることがありえないのなら、なぜシマンテックのルート証明書は有効期限前に失効になったのか。
        ちゃんとしてないルート証明書があっても、それが見逃されて、広く使われていて、シマンテックのルート証明書以上の問題が起きて
        失効させることで起きるリスクと失効させないことで起こる事象を天秤にかけて、直ちに失効される可能性だって十分あるかと

        ルート証明書の管理運営も、審査とプリインストールも、証明書の失効の判断も人間が運用しているのだから
        間違いも起きるし、ミスコミュニケーションの結果、強硬策(ただちに失効)が取られることもありえる。

    • by Anonymous Coward

      パスワードやクレジットカードを入力しないようなとこは、そういう大規模な問題が発生している最中にアクセスできなくても困らないと思います。というわけで、いずれにせよHTTPSオンリーでいいのではないでしょうか。実際、自分個人が運営しているところはHTTPSオンリーにしました。

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...