SSL証明書警告の対処法、「無視する」はNGです 30
ストーリー by hylom
証明書エラーについてはしょうがないが…… 部門より
証明書エラーについてはしょうがないが…… 部門より
あるAnonymous Coward 曰く、
「3分セキュリティ講座」などのコンテンツを提供している「ソフトバンク ビジネス+IT」にて、サイト内のSSL対応ページを閲覧する際に証明書エラーが出るということで「SSL証明書エラーに関するお詫びと対処法」という対処法説明を出している。
ソフトバンク ビジネス+ITでは、セミナー申し込みページなど個人情報を入力するページでSSLが使われているのだが、IE6/7でこれらのページを閲覧した場合、「証明書に問題がある」と表示されるケースがあるようだ。
Internet Explorer 6 で2月1日以降、初めてセミナー登録ページを利用する際に証明書エラーが発生する場合や Internet Explorer 7におけるHTTPSセキュリティ強化により,Internet Explorer 7にバージョンアップ後に証明書エラーが発生するケースが確認されている
使用されているSSL証明書はSECOMが発行しているもので、いわゆる「オレオレ証明書」ではない。IE6/7以外では正常にアクセスでき、またIE6/7でも証明書をインストールすれば問題なく利用できるのだが、この問題の対処方法の説明としては「証明書をインストールする」よりも前に「証明書の警告を無視する」が紹介されている。これはセキュリティ関連のコンテンツを掲載しているメディアとしてはよろしくないと思うのだが……。
いやいやいやいや (スコア:3, すばらしい洞察)
証明書をインストールするにしても、オレオレ証明書を掲げているサイトからインストールしてたら何の意味もありません。
で、今手もとの環境がIE8なので確認できないのですが、問題なのはIEのバージョンよりむしろルート証明書の更新プログラムをインストールしているかどうかではないでしょうか。そうだとしたら、促すべき対処はWindows Update経由のインストールであって、今書かれている内容は有害なだけなのですべて削除すべきです。
Re:いやいやいやいや (スコア:3, 参考になる)
似たような事が起こっている、IPAの情報処理技術者試験の申し込みページ [ipa.go.jp]だと、
ってなってますね。
ルート証明書の更新って、自動更新には含まれなかった(オプション扱い)と思ったので、
慣れてない人だと少々面倒かもですね。
# 昨日申し込んだのですが、Firefoxは平気だった。
Re: (スコア:0)
> Microsoft Updateを実行され、証明書をアップデートしてください。
そんなことするくらいなら
Firefoxを入れがほうが簡単で安全ですね。
Re:いやいやいやいや (スコア:1)
Firefoxって簡単で分かりやすいhttp://mozilla.jp/firefox/ [mozilla.jp]からダウンロードした場合、 SSLかかってないですよね?
ルート証明書の入手手段としては安全とは言えないのでは。
Re:いやいやいやいや (スコア:4, 参考になる)
実行ファイルに署名されています。Windows XP SP2以降では、ダウンロードしたファイルを実行しようとしたとき自動的に確認ダイアログが出ます。ここで署名を確認すれば、少なくともMozilla Corporationと無関係の誰かに偽物をつかまされることは回避できます。Windows Vista以降では、UACのダイアログの色でもっと一目瞭然に確認できます(むろん偽物が独自に署名することは可能なので発行者も確認すべきですが、コードサイニング証明書はSSLと違って実在証明が必須なので、詐欺師にとってのハードルは高いです)。
極端な話、ダウンロードの経路はBitTorrentでもWinnyでも一向にかまいません。Windows Updateも、サイトまでの経路すべては必ずしも暗号化されていません。ダウンロードしたファイルすべての署名を検証することで、中間者攻撃の危険を排除しています。
こんなのはすでに5年も前に通りすぎた [srad.jp]話です。
セキュリティ専門家の高木先生も、署名されていないNyzilla 1.0を公開したときはSSL版ページを用意してリンクを張っていましたが、署名されているNyzilla 1.0.1ではリンクを廃止しました(SSL版ページ [takagi-hiromitsu.jp]を使うこと自体はできるようです)。不要だからです。
Re:いやいやいやいや (スコア:1)
ふと思ったんですが、
Firefoxの場合、ルート証明書の更新ってどうやってるんですかね?
# 本体アップデートと一緒にアップデートされる?
削除したようです (スコア:0)
件のお詫びページは消されたようですね。
代わりとなる正しい対処法のページが作られたかどうかは分かりませんが、意外と早い対応でしたね。
今後、適切な対処法の公開と誤った情報を流した事実への謝罪が行われるかどうかが見物です。
SSLが必要か? (スコア:1, おもしろおかしい)
途中で盗聴されて個人情報が漏れるよりも、
セミナー主催者の悪意や不手際で漏れる方が
よっぽどありそうなんだが。
Re: (スコア:0)
機密性の問題ではありません。信憑性の問題です。
いまだに、SSLといえば暗号化しか思いつかない人もいるんですね。
何故フィッシングが成功するか理解できてますか?
何故EV SSLが必要となったか理解できてますか?
>セミナー主催者の悪意や不手際で漏れる方が
>よっぽどありそうなんだが。
「よっぽどありそう」だとあなたが思うリスクがあるからといって、
その他のリスクを無視していいということはありません。
Re:SSLが必要か? (スコア:3, 参考になる)
証明書の本人確認って、郵便の到達や紙の書類で確認するだけなんだよね?
例えば登記簿謄本とかで確認するんだろうけど、海外の業者にどれだけ有効なんだろ? 丁寧にニセモノを作れば騙せそうな気がするんだけど。郵便は民間の私書箱でも使えば問題ないし。
日本でそれなりに有名な企業名を名乗っていたとしても、それを知らないかもしれないし、有名企業の社名やブランド名と同じ名の零細企業があったとしても、それが即、商標法違反というわけでもないから、ニセモノだと判断できない気がする。この辺り、どんな運用なんだろうね。
SSLは充分に有用な仕組みだとは思うんだけど、かといって、それほど信用できるものでもない気がする。
Re:SSLが必要か? (スコア:3, 参考になる)
代表的な実在性認証を行う証明書では、ドメイン名登録者との整合性、登記簿謄本などを用いて実在性、電話で本人性を確認しています。
またドメイン認証と呼ばれている安価な証明書では、ドメイン名を登録した時に申告したメールアドレスに届くメールアドレスがWhois情報に公開されていますので、そこにメールが届けば認証したとみなす模様です。
悪意の有無とは関係なく同名の企業は存在します。ですから、実在性認証をした証明書を使っていても、通信相手の企業が自分が目的とする企業なのかは、証明書を受け取った利用者が確認する必要が有るでしょうね。厳格には毎回確認すべきと思いますが、そこまでしなくとも初めて参照したWebサイトでは証明書の記載事項を確認するのが良いと思います。
ドメイン認証の証明書では、企業団体名の記載はきっと無いと思いますので、そのドメイン名が確実に目的のドメイン名であると確信が持てなければ、とりあえず怪しいと疑っても良いと思います。
フィッシングサイトなど偽サイトを運用する側から見れば、仮に証明書を取得しようとするなら、手間暇を掛けた上に多額の代金を支払わないといけない実在性認証の証明書を取得するより、遥かに簡単に安価なドメイン認証の証明書を取得するように思いますね。
SSLだから信用できるという物ではなく、証明書の中身をきちんと見て、通信相手が目的の相手だと利用者自信が確信を持てる事が重要だと思いますね。
Re:SSLが必要か? (スコア:1, すばらしい洞察)
「SSLなんて大して信用できるものではありませんから、自己責任と割り切っていい加減に証明書をインストールしてください」と書かれていたならそれはそれでかまいませんが、
> 安全なHTTPS環境でのサイト表示をおこなっておりますので、「はい」を選択して続行してください。
などと正反対のことが書かれていました。おまけに
> この表示を出さなくするためには、SSL証明書をご使用のパソコンにインストールしてください
などと、マトモに運用しようと努力している人たちの足まで引っ張っていました。だから叩かれたのです。
ところで今見たらもう該当のページは消えてますね。とりあえず素早い対応は率直に評価できます。
Re: (スコア:0)
> その他のリスクを無視していいということはありません。
そうかな。
底に穴の開いたバケツに、穴のあいたホースで水を注いでいるとしよう。
バケツの穴をふさがずにホースの穴を修理しようとすることにどんな意味がある?
Re: (スコア:0)
×:底に穴の開いたバケツに
○:底に穴のありそうなバケツに
問題が明らかなホースを放置して、あるかどうかも分からない穴を最初に塞ごうとするあなたが滑稽です。
Re:SSLが必要か? (スコア:1)
さすがノーガード戦法 (スコア:0)
>途中で盗聴されて個人情報が漏れるよりも、
>セミナー主催者の悪意や不手際で漏れる方が
>よっぽどありそうなんだが。
なるほど、不手際で漏れた場合に、
盗聴されていたことにするために、
SSLを使わないようにした方が良さそうですね。
Re: (スコア:0)
Re: (スコア:0)
えー
本日はお忙しい中セミナーにお集まりいただきありがとうございます。
ではお手持ちのクライアント証明書をご提示・・・え?
持ってきていない?
そろそろ (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
スルーした結果を受け入れられるならね。
スルーした奴に文句を言う資格はないし。
Re: (スコア:0)
EV SSLでないと、もうね。
Re: (スコア:0)
はあ?証明書の内容なんてコンピュータが自動的に確認しているので、あなたは確認する必要ありませんが?いつも通りアドレスバーのドメイン名を見ればよいだけ。証明書なんて人間が見る必要ない。
Re: (スコア:0)
言い方が悪いけど同意。
技術に中途半端に明るい人ほど「証明書の中身を確認する必要がある」って思ってる傾向がありますね。
で、勝手に「難しい話」にしたがる。
SSLは「アドレスバーに表示されているURLに安全につながっている」ということを保障するものです。
そのURLの持ち主を信用していいかどうかは別途ご自分でご判断ください。
# こういう認識の人って証明書を見て何を確認するんだろうか
Re: (スコア:0)
> # こういう認識の人って証明書を見て何を確認するんだろうか
issuerでしょう。
正直StartComやEquifaxのクラス1証明書を使っているサイトでの買い物は遠慮したいです。
すでに削除済みですね (スコア:0)
Re:すでに削除済みですね (スコア:2, 参考になる)
さっきみたら
誤った対処方法をご案内したことに関する訂正
というものになってました。
Re: (スコア:0)
そのリンク先のリンク先。ルート証明書の更新はいいけれど、
「優先度の高い更新プログラムが選択されていません。」
がとても気になる。
Re:すでに削除済みですね (スコア:1, 参考になる)
さすがソフトバンクですな
Googleキャッシュから拾ってきました
http://74.125.153.132/search?q=cache:r7yp9YX2-MIJ:www.sbbit.jp/article... [74.125.153.132]