アカウント名:
パスワード:
サイトとクライアント間の通信暗号化のための証明書に何を期待しているんだか暗号通信が保証するのは繋いだ先との通信であってクライアントの頭の中の相手じゃない
証明書は相手を証明するものだぞ暗号化はまた別の話だね誰と繋がっているか、それが正しい相手かどうか証明しようって話だから
その為に例えば公的機関に登録して証明してもらうということになったけど最初はそれでよかった、必要なのは一部なので高い金払って証明する仕組みが機能していたしかし時は個人も含めて全て証明しろって話になってそれなら有志が無料で出来る仕組みを作ったら犯罪組織もそれを使うことになってしまったということもちろん犯罪組織も公的機関に金払って証明してもらってるところもあるだろうからそれだけで安全かどうかの判断は出来ないけど
httpsで使われる証明書はドメイン保有者と通信先が同じであることしか保証しないんではだからオンラインとは別の手段で「このURLはうちですよ」と広めることの方が重要だった
HTTPS 専用の証明書があるわけじゃないし、証明書で検証されるのはホストの CN や SAN が一致するかであってドメイン保有者じゃない。ただし、認証局がドメイン保有を確認できないと証明書を発行しないから、証明書の持ち主がドメイン保有者であることも担保されている。
Web 用に取得した証明書だって、CN か SAN が一致すればメールサーバに仕込んで SMTPS や IMAPS に使ったりLDAP サーバに仕込んで LDAPS に使うこともできる。ワイルドカード証明書なら1枚で複数のホストで使える。
まさかスラドでhttps証明書の基礎すら理解してない長文コメントを見ることになるとは
自称すごい人が多いスラドだからこそかなと思います。
サイトの画像と家にくる人が一致していることを証明するようなものか。一致はしていても経過年数が…ってこともあるから、有効期限も大事。最近では13ヶ月なのですね。
さらにほとんどのサイトは暗号化すらどうでもよくてGoogleに冷遇されないためとかHTTPS必須のAPIを使うために利用してるだけ
暗号化とドメイン認証、ついでに組織認証までセットでやる現状のSSL証明書の区別がついてない人が多い
・暗号化に証明書は不要(安全な鍵交換技術を使えば、証明書なしで安全な暗号化通信は可能、ただしman in the middleは防げない)・man in the middleを防ぐためにドメイン認証が必要・フィッシング詐欺を抑止するためには、有償で発行する組織認証つき証明書が有効・・・にはなってない (現行のブラウザではドメイン認証のみの証明書と区別しないため)
結局はドメインとTLSのセットで確認するしかないんだよな。アクセス先をちゃんと確認しろよと。
現在までのところ、TLSと単独で書いているのはこの記事のみ。言葉を変えることの難しさよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
わけがわからないよ (スコア:0)
サイトとクライアント間の通信暗号化のための証明書に何を期待しているんだか
暗号通信が保証するのは繋いだ先との通信であってクライアントの頭の中の相手じゃない
Re: (スコア:0)
証明書は相手を証明するものだぞ
暗号化はまた別の話だね
誰と繋がっているか、それが正しい相手かどうか証明しようって話だから
その為に例えば公的機関に登録して証明してもらうということになったけど
最初はそれでよかった、必要なのは一部なので高い金払って証明する仕組みが機能していた
しかし時は個人も含めて全て証明しろって話になって
それなら有志が無料で出来る仕組みを作ったら
犯罪組織もそれを使うことになってしまったということ
もちろん犯罪組織も公的機関に金払って証明してもらってるところもあるだろうから
それだけで安全かどうかの判断は出来ないけど
Re: (スコア:0)
httpsで使われる証明書はドメイン保有者と通信先が同じであることしか保証しないんでは
だからオンラインとは別の手段で「このURLはうちですよ」と広めることの方が重要だった
Re: (スコア:0)
HTTPS 専用の証明書があるわけじゃないし、証明書で検証されるのはホストの CN や SAN が一致するかであってドメイン保有者じゃない。
ただし、認証局がドメイン保有を確認できないと証明書を発行しないから、証明書の持ち主がドメイン保有者であることも担保されている。
Web 用に取得した証明書だって、CN か SAN が一致すればメールサーバに仕込んで SMTPS や IMAPS に使ったり
LDAP サーバに仕込んで LDAPS に使うこともできる。ワイルドカード証明書なら1枚で複数のホストで使える。
Re: (スコア:0)
まさかスラドでhttps証明書の基礎すら理解してない長文コメントを見ることになるとは
Re: (スコア:0)
自称すごい人が多いスラドだからこそかなと思います。
Re: (スコア:0)
サイトの画像と家にくる人が一致していることを証明するようなものか。
一致はしていても経過年数が…ってこともあるから、有効期限も大事。最近では13ヶ月なのですね。
Re: (スコア:0)
さらにほとんどのサイトは暗号化すらどうでもよくてGoogleに冷遇されないためとかHTTPS必須のAPIを使うために利用してるだけ
Re: (スコア:0)
暗号化とドメイン認証、ついでに組織認証までセットでやる現状のSSL証明書の区別がついてない人が多い
・暗号化に証明書は不要(安全な鍵交換技術を使えば、証明書なしで安全な暗号化通信は可能、ただしman in the middleは防げない)
・man in the middleを防ぐためにドメイン認証が必要
・フィッシング詐欺を抑止するためには、有償で発行する組織認証つき証明書が有効・・・にはなってない
(現行のブラウザではドメイン認証のみの証明書と区別しないため)
Re: (スコア:0)
結局はドメインとTLSのセットで確認するしかないんだよな。
アクセス先をちゃんと確認しろよと。
Re: (スコア:0)
現在までのところ、TLSと単独で書いているのはこの記事のみ。言葉を変えることの難しさよ。