アカウント名:
パスワード:
意外と気付いてない人が多い気がするんだけど、マジで危険なので。企業のPCでオンプレAD発行の「オレオレ証明書」とか使って「SSL通信の監査」やってる実装とか知ってれば明らかに危険なことくらい理解できるだろうにね。
クリティカルな情報を送信する際には端末側のブラウザで証明書の「発行元」を確認することは必須。ややこしい手順でもいいから確認したいと思っても、手段自体を封じてるiPhoneは困った話。以前はiPhoneでもChrome使えば確認できたはずなんだけど、いつの間にか見れなくされてるし。
iPhoneのデフォルトインストール済み証明書の一覧はコチラhttps://support.apple.com/ja-jp/HT204132 [apple.com]
自分でインストールしたものは、設定アプリの「一般」→「情報」→「証明書信頼設定」で確認でき、有効/無効を設定できる。デフォルトは無効になっている。https://support.apple.com/ja-jp/HT204477 [apple.com]
そうではなくて、元コメの言いたいことは、今まさに見ようとしているサイトの証明書が、どの認証局から発行されているかってことだろ。「こんなサイトに証明書を発行しているこの認証局は、気が狂っているか、クラッキングされているのかもしれない」などと考える役に立つ。本当は、OSデフォルトの認証局に対しても「こいつは信用しない」などと設定できるべきだが、iPhoneはできない。
本当は銀行の窓口へ行ってルート証明書をフロッピーディスク💾で受け取り、ネットバンキングサイトのサーバがそのルート証明書で署名された署名を送ってきて通信を暗号化していることを確認すべきってことですよね、わかります。
さすがにそこは、CD-Rでもいいです。窓口の近所に住んでる人が証明書をもらってきて、そいつがちゃんと確認して、そいつをオフラインで信用できるなら、トラスト チェーンになる。
本人以外が知っていることのありえない4桁暗証番号で十分なのでは?
公開鍵基盤についてざっくり復習してもろて。
入力された暗証番号を全部成功にすれば簡単に騙せますね。
> 今まさに見ようとしているサイトの証明書が、どの認証局から発行されているか
今まさに見ようとしているサイトの証明書が、どの認証局で署名されているか
ってこと?認証局は証明書を発行しないよ
どの認証局から生成されているか、てなとこだな。気持ちはわかる。
Issuer って発行元以外にどう訳したらいい?
WoSignとかマジでブロックしたいよね。っていうか、信頼しないとネットが使い物にならないVerisign系とAmazonやGoogleを除いて全部消したい。https://support.apple.com/ja-jp/HT209144 [apple.com]
追加も削除も、確認もできないってことは、結局オモチャってこと。
漢は黙ってMac.
MACのキーチェーンも、いじれるように(パスワード既知に)するには、今までの設定をリセットしないといけないし、設定した鍵を信頼するとしても(そうしないと何十回もパスワードを聞いて来る)、いつの間にかに設定が解けて訳が分からなくなるので、どうやったら黙って使えるのか、秘訣とかあるのでしょうかね?
結局、デバイスを信頼してくださいってセキュリティモデルのモバイルが、(Appleの)作でさえおもちゃってこと。時にはデバイスを、己(オペレータ)さえ疑ってみるってのは大事だ。開発者には当然のことだが。。
とは言うてもなぁ。イントラオンプレ環境に手軽にSSL導入できる仕組みがこれしか無いのよ
Let's Encryptのワイルドカード証明書でも使ったら?
普通サーバ証明書でいいよね。なんで認証局証明書を入れさせようとするの?悪いことしようとしているのバレバレなんですが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
「信頼済み証明書」に信頼できない証明書が混入していることのリスク (スコア:1)
意外と気付いてない人が多い気がするんだけど、マジで危険なので。
企業のPCでオンプレAD発行の「オレオレ証明書」とか使って「SSL通信の監査」やってる実装とか知ってれば
明らかに危険なことくらい理解できるだろうにね。
クリティカルな情報を送信する際には端末側のブラウザで証明書の「発行元」を確認することは必須。
ややこしい手順でもいいから確認したいと思っても、手段自体を封じてるiPhoneは困った話。
以前はiPhoneでもChrome使えば確認できたはずなんだけど、いつの間にか見れなくされてるし。
Re:「信頼済み証明書」に信頼できない証明書が混入していることのリスク (スコア:2)
iPhoneのデフォルトインストール済み証明書の一覧はコチラ
https://support.apple.com/ja-jp/HT204132 [apple.com]
自分でインストールしたものは、設定アプリの
「一般」→「情報」→「証明書信頼設定」
で確認でき、有効/無効を設定できる。デフォルトは無効になっている。
https://support.apple.com/ja-jp/HT204477 [apple.com]
Re:「信頼済み証明書」に信頼できない証明書が混入していることのリスク (スコア:1)
そうではなくて、元コメの言いたいことは、今まさに見ようとしているサイトの証明書が、どの認証局から発行されているかってことだろ。
「こんなサイトに証明書を発行しているこの認証局は、気が狂っているか、クラッキングされているのかもしれない」などと考える役に立つ。
本当は、OSデフォルトの認証局に対しても「こいつは信用しない」などと設定できるべきだが、iPhoneはできない。
Re:「信頼済み証明書」に信頼できない証明書が混入していることのリスク (スコア:2)
本当は銀行の窓口へ行ってルート証明書をフロッピーディスク💾で受け取り、ネットバンキングサイトのサーバがそのルート証明書で署名された署名を送ってきて通信を暗号化していることを確認すべきってことですよね、わかります。
Re: (スコア:0)
さすがにそこは、CD-Rでもいいです。
窓口の近所に住んでる人が証明書をもらってきて、そいつがちゃんと確認して、そいつをオフラインで信用できるなら、トラスト チェーンになる。
Re: (スコア:0)
本人以外が知っていることのありえない4桁暗証番号で十分なのでは?
Re:「信頼済み証明書」に信頼できない証明書が混入していることのリスク (スコア:2)
公開鍵基盤についてざっくり復習してもろて。
Re: (スコア:0)
入力された暗証番号を全部成功にすれば簡単に騙せますね。
Re: (スコア:0)
> 今まさに見ようとしているサイトの証明書が、どの認証局から発行されているか
今まさに見ようとしているサイトの証明書が、どの認証局で署名されているか
ってこと?認証局は証明書を発行しないよ
Re: (スコア:0)
どの認証局から生成されているか、てなとこだな。気持ちはわかる。
Re: (スコア:0)
Issuer って発行元以外にどう訳したらいい?
Re: (スコア:0)
WoSignとかマジでブロックしたいよね。
っていうか、信頼しないとネットが使い物にならないVerisign系とAmazonやGoogleを除いて全部消したい。
https://support.apple.com/ja-jp/HT209144 [apple.com]
Re: (スコア:0)
追加も削除も、確認もできないってことは、結局オモチャってこと。
漢は黙ってMac.
Re: (スコア:0)
MACのキーチェーンも、いじれるように(パスワード既知に)
するには、今までの設定をリセットしないといけないし、
設定した鍵を信頼するとしても(そうしないと何十回も
パスワードを聞いて来る)、いつの間にかに設定が解けて
訳が分からなくなる
ので、どうやったら黙って使えるのか、秘訣とかあるので
しょうかね?
Re: (スコア:0)
結局、デバイスを信頼してくださいってセキュリティモデルのモバイルが、(Appleの)作でさえおもちゃってこと。
時にはデバイスを、己(オペレータ)さえ疑ってみるってのは大事だ。開発者には当然のことだが。。
Re: (スコア:0)
とは言うてもなぁ。
イントラオンプレ環境に手軽にSSL導入できる仕組みがこれしか無いのよ
Re: (スコア:0)
Let's Encryptのワイルドカード証明書でも使ったら?
Re: (スコア:0)
普通サーバ証明書でいいよね。なんで認証局証明書を入れさせようとするの?悪いことしようとしているのバレバレなんですが。