アカウント名:
パスワード:
HTTPアクセスが前提で、httpsにはオレオレ証明書入れてるサイトとか、どうすればいいの?勝手にhttpsになったら、最近のブラウザはオレオレ証明書や期限切れ証明書を問答無用で拒否するので、アクセスできなくなるじゃん
実際に出てみないとわからんけど、たぶん「このサイトはhttpでアクセス」みたいに指定するオプションはあると思うよ。
ここまでの流れを理解できないようなシロウトがそんな難解な操作できると思う?
シロウトがそんな危険なサイトにアクセスしてしまわないようわざと難解なUIにしてるんだから完璧に計画通りだ。何の問題が?
HTTPアクセスとオレオレ証明書でのアクセスだと、経路の保証がないという点で実質的な違いはないだろ。要するにアクセスすんなって話だ。少なくともこの程度も理解出来ないやつはアクセスしないのが身のため。
最もfirefoxでもchromeでもオレオレの場合は確認のページが挟まるだけでアクセス出来ないわけではない。firefoxのhttpsonlyモードでも同様。
過去にHSTSを有効にしていたドメインが期限切れになると回避できないけどな(少なくとも簡単には)SEOに有利だとかその程度の理由で安易にHSTSを有効にするのやめてほしい
そういえば、HTTPで運用しているウェブサイトの中には、httpsでアクセスするとホスティングしている業者の証明書が提示される(それで証明書エラー)というところがある。
たとえば http://hanayuspa.jp/ [hanayuspa.jp] と https://hanayuspa.jp/ [hanayuspa.jp] (証明書はsecure.ne.jpのもの)。こういうところはフォールバックなしだと困るね。
そういうレンタルサーバよく見かけるけど、それって「困る」のかな?HTTPだと盗聴となりすましの危険性があるけど、HTTPSなら少なくとも第三者による盗聴の危険性はなくなるから、セキュリティの観点から言えばフォールバックしない方がいいんだよね。ただ、いちいち確認ページが挟まることで例外の承認が習慣化してしまうのはよくないって考えもあるので、そういう意味では確かに困るかもしれないけど。そもそも443ポート開けとく方にも問題あるのでは?という気もするが、Webサーバの仕様的なところも絡んでくるから、全体システム的な話になるか。
ホスティング業者がちゃんと証明書を設定しろって言うだけの話。
私はユーザーが設定してないからホスティング業者の証明書が見えるんだと感じた
拒否といってもエラーメッセージを出すだけで続行することは可能ですよ。下記で試してみるとよいでしょう。
メジャーブラウザから、オレオレ証明書でネットに繋ぐなってメッセージだと思っている。バージョン切れOSと同じ扱いなんだろ。
そもそも、まともなhttpsでないサイトはもう滅ぶべき時期かと。証明書の取得にコストがかかっていた時代は終わり、証明書取得から設定まで全自動なWebサーバーまである。
静的サイトなら必要無くない?あとローカルで構築してるシステムが面倒くさいんだよなあ。
静的なサイトでも途中で改ざんされるのは困るよ
「通信の最適化」と称してコンテンツ改竄する通信業者が横行してましたよね。どんなときでもE2Eの暗号化することは、土管屋が余計な事やらず土管屋に徹するよう強制する一助となるので良いことだと思う。
組み込み機器だとIPアドレスしか持ってないとか有るからなぁ。IPアドレスなURLでHTTPSとか(ヾノ・∀・`)ムリムリ
無理なのはDVサーバ証明書の発行だねそれ以外の手段でHTTPSが使えないわけではない
ご家庭のWi-FiやルータやNAS設定させる時にエラーを無視させたり、ユーザーに証明書インストールさせるの?副作用が大きすぎるし、バッドノウハウ過ぎるよ。
バッドノウハウと言うけど本来はそういうものだよ、CAを利用した信頼性のチェーンってたまたまOSやブラウザベンダーがいくつか信頼できる証明書をバンドルしてくれてるだけ例えばGPKIが発行した証明書を信頼するかどうか利用者が判断する必要があったようにね
https://1.1.1.1/ [1.1.1.1] のように、IPアドレスでHTTPSサーバの稼働自体は可能。もちろん、他のコメントで指摘されているとおり証明書をどう配布する?など問題はほかに山積みだけど。
1.1.1.1みたいにグローバルIPアドレスなら困らない。しかし、本質的にユニークじゃない、プライベートIPアドレス等が大問題。10.0.0.1とか127.0.0.1の証明書とかが発行されたら悪用し放題になってしまう。仕組み上、相性が悪い。
それ http://ntt.setup/ [ntt.setup] みたいなローカルドメインにも同じことが言えるんで、本質的にIPアドレス特有の問題じゃないですよ。ローカルなドメインを運用する際はローカルなDNSを用意するように、プライベートなCAを用意するのが正道ってことです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
おれおれ証明書や期限切れ証明書はどうなるん? (スコア:0)
HTTPアクセスが前提で、httpsにはオレオレ証明書入れてるサイトとか、どうすればいいの?
勝手にhttpsになったら、最近のブラウザはオレオレ証明書や期限切れ証明書を問答無用で拒否するので、
アクセスできなくなるじゃん
Re: (スコア:0)
実際に出てみないとわからんけど、たぶん「このサイトはhttpでアクセス」みたいに指定するオプションはあると思うよ。
Re: (スコア:0)
ここまでの流れを理解できないようなシロウトがそんな難解な操作できると思う?
Re: (スコア:0)
シロウトがそんな危険なサイトにアクセスしてしまわないようわざと難解なUIにしてるんだから完璧に計画通りだ。何の問題が?
Re: (スコア:0)
HTTPアクセスとオレオレ証明書でのアクセスだと、経路の保証がないという点で実質的な違いはないだろ。
要するにアクセスすんなって話だ。
少なくともこの程度も理解出来ないやつはアクセスしないのが身のため。
最もfirefoxでもchromeでもオレオレの場合は確認のページが挟まるだけでアクセス出来ないわけではない。
firefoxのhttpsonlyモードでも同様。
Re: (スコア:0)
過去にHSTSを有効にしていたドメインが期限切れになると回避できないけどな(少なくとも簡単には)
SEOに有利だとかその程度の理由で安易にHSTSを有効にするのやめてほしい
Re: (スコア:0)
そういえば、HTTPで運用しているウェブサイトの中には、httpsでアクセスするとホスティングしている業者の証明書が提示される(それで証明書エラー)というところがある。
たとえば http://hanayuspa.jp/ [hanayuspa.jp] と https://hanayuspa.jp/ [hanayuspa.jp] (証明書はsecure.ne.jpのもの)。こういうところはフォールバックなしだと困るね。
Re: (スコア:0)
そういうレンタルサーバよく見かけるけど、それって「困る」のかな?
HTTPだと盗聴となりすましの危険性があるけど、HTTPSなら少なくとも第三者による盗聴の危険性はなくなるから、セキュリティの観点から言えばフォールバックしない方がいいんだよね。
ただ、いちいち確認ページが挟まることで例外の承認が習慣化してしまうのはよくないって考えもあるので、そういう意味では確かに困るかもしれないけど。
そもそも443ポート開けとく方にも問題あるのでは?という気もするが、Webサーバの仕様的なところも絡んでくるから、全体システム的な話になるか。
Re: (スコア:0)
ホスティング業者がちゃんと証明書を設定しろって言うだけの話。
Re: (スコア:0)
私はユーザーが設定してないからホスティング業者の証明書が見えるんだと感じた
Re: (スコア:0)
拒否といってもエラーメッセージを出すだけで続行することは可能ですよ。
下記で試してみるとよいでしょう。
Re: (スコア:0)
メジャーブラウザから、オレオレ証明書でネットに繋ぐなってメッセージだと思っている。
バージョン切れOSと同じ扱いなんだろ。
Re: (スコア:0)
そもそも、まともなhttpsでないサイトはもう滅ぶべき時期かと。
証明書の取得にコストがかかっていた時代は終わり、証明書取得から設定まで全自動なWebサーバーまである。
Re: (スコア:0)
静的サイトなら必要無くない?
あとローカルで構築してるシステムが面倒くさいんだよなあ。
Re: (スコア:0)
静的なサイトでも途中で改ざんされるのは困るよ
Re: (スコア:0)
「通信の最適化」と称してコンテンツ改竄する通信業者が横行してましたよね。
どんなときでもE2Eの暗号化することは、土管屋が余計な事やらず土管屋に徹するよう強制する一助となるので良いことだと思う。
Re: (スコア:0)
組み込み機器だとIPアドレスしか持ってないとか有るからなぁ。
IPアドレスなURLでHTTPSとか(ヾノ・∀・`)ムリムリ
Re: (スコア:0)
無理なのはDVサーバ証明書の発行だね
それ以外の手段でHTTPSが使えないわけではない
Re: (スコア:0)
ご家庭のWi-FiやルータやNAS設定させる時にエラーを無視させたり、ユーザーに証明書インストールさせるの?
副作用が大きすぎるし、バッドノウハウ過ぎるよ。
Re: (スコア:0)
バッドノウハウと言うけど本来はそういうものだよ、CAを利用した信頼性のチェーンって
たまたまOSやブラウザベンダーがいくつか信頼できる証明書をバンドルしてくれてるだけ
例えばGPKIが発行した証明書を信頼するかどうか利用者が判断する必要があったようにね
Re: (スコア:0)
https://1.1.1.1/ [1.1.1.1] のように、IPアドレスでHTTPSサーバの稼働自体は可能。もちろん、他のコメントで指摘されているとおり証明書をどう配布する?など問題はほかに山積みだけど。
Re: (スコア:0)
1.1.1.1みたいにグローバルIPアドレスなら困らない。
しかし、本質的にユニークじゃない、プライベートIPアドレス等が大問題。
10.0.0.1とか127.0.0.1の証明書とかが発行されたら悪用し放題になってしまう。
仕組み上、相性が悪い。
Re: (スコア:0)
それ http://ntt.setup/ [ntt.setup] みたいなローカルドメインにも同じことが言えるんで、本質的にIPアドレス特有の問題じゃないですよ。
ローカルなドメインを運用する際はローカルなDNSを用意するように、プライベートなCAを用意するのが正道ってことです。