パスワードを忘れた? アカウント作成
13662730 story
Chrome

ChromeのHTTP警告を報じるニュースサイト、HTTPSに非対応でツッコまれる 32

ストーリー by hylom
どちらかというとGoogle対策で入れざるを得なかった 部門より

7月24日にリリースされたGoogle Chrome 68では、HTTPSを使用していないサイトへアクセスした際にアドレスバー横に「保護されていません」と表示するようになった(窓の杜)。一方で、国内の多くのサイトがまだHTTPSに対応しておらず、この「保護されていません」表記は頻繁に見ることになりそうだ(INTERNET Watch日経xTECH)。

INTERNET Watchによると、「本来は率先してHTTPS化に取り組むべき官公庁のサイトや大手企業のサイトがいまだ対応できていない例は少なくなく、経済産業省や総務省、内閣府などのほか、大手銀行、大学などのサイトがSNSで次々と槍玉に上がっている。」という。また、これを報じる共同通信の記事が一時HTTPで提供されていたため、そちらにもツッコミが入っていたようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年07月30日 17時20分 (#3451858)

    よく使われているルート証明書に問題が起きて
    無効化されたときに、閲覧内容の盗聴防止目的程度のものも証明書警告が出てアクセス不能に陥り(最近は素人じゃ証明書警告を無視して開くことも難しい)
    インターネットが大規模な機能不全に陥りかねないから
    両方用意されてた方がいいと思う

    パスワードやクレジットカードを入力するようなとこはそういうときにアクセス不能になるのもやむを得ないけど

    • 古いパソコンではアクセスできないサイトが急に増えたから
      貧乏人閉め出しと理解している。

      --
      the.ACount
      親コメント
      • by Anonymous Coward

        古いコンピュータのOSやブラウザやプロトコルスタックでは新しい安全な暗号やハッシュ関数がサポートされていないからであって、
        あなたが貧乏で現代的なコンピュータを購入できない件とは全くの独立の事象です

    • by Anonymous Coward

      普通はhttpでもアクセスできるようにしてるだろうけど、https対応したからってhttpsにリダイレクトで飛ばすところも増えてそうだな。
      HSTSだとhttps固定にするけど、httpsの証明書ダメになった時にhttpへのアクセスもさせないよね、たぶん・・

    • by Anonymous Coward

      しかし、例えばhttpの大手ニュースサイトに
      「ルート証明書に問題発生、各所で証明書のエラーが出ますが無視して続行してください」
      と出ていたとして、そのニュースが正しいサーバーから返されたものだと何をもって担保すればいいのかという疑問が。

      ドメイン見たところで、通信経路で改竄されている可能性だってあるわけで、そのニュースを信じるためには結局httpsが必要でしょう。

      • by Anonymous Coward on 2018年07月31日 1時33分 (#3452201)

        そもそも「無視して続行してください」なんて言ってしまう時点で、そんなサイトは信用に値しないだろw

        親コメント
        • by Anonymous Coward

          昔、銀行だか省庁のサイトで警告がでるけど無視して続行してください的な事をサイトのヘルプに書いてた所があったような

          • by Anonymous Coward

            そのサイトが信用に値するとでも?

            • by Anonymous Coward

              最高裁判所すら言ってた [takagi-hiromitsu.jp]ので…

              「脆弱性のあるJREを更新するな」とかも電子入札とかでは今でも言ってるところがある [pref.gifu.jp]位。
              電子政府関連のは大体全部が一度はやらかしているんじゃないかね……

              • by Anonymous Coward

                権威があるかどうかと、信用して利用できるサービスかどうかには何の関係もない。
                むしろ権威があればあるほど、改竄や成りすましで攻撃を狙う者からすると魅力が高い。

              • by Anonymous Coward

                「信用がおける運用になっていなければまずい組織」が
                「信用がおける運用になっていない」という話ですよ。

      • by Anonymous Coward

        そんな時なら信頼性の低いソースとして自分なりに吟味すりゃいいでしょ。
        「https最高!」って思考停止する必要はない。

        • by Anonymous Coward

          普通の人は吟味できないので。

          • by Anonymous Coward

            「お前たちには吟味できないだろうから一律全部見せません。」というのが正しいとは思わないし、押し付けがましいと思う。
            「政治的に有害な情報なので見せません。有害かどうかは国が判断します」というのと大差ない。

          • by Anonymous Coward

            ほらまた思考停止。

    • by Anonymous Coward

      こういう障害に対する代替策はないの?
      例えば、ルート証明書を複数持てたり、1つのWebサイトに対して複数の証明書を付けたりしておくようにすれば、冗長性を持たせられると思うけど。

    • by Anonymous Coward

      Windows Updateでルート証明書を入れ替えれば無問題では。(時々やっているし)
      ちゃんとしたルート認証局の秘密鍵は、普通はきちんとした耐タンパハードウェアで運用する等の保護策が必須条件のはずなので、ご指摘の問題がそもそも起きないはずではあるのすが。

      • by Anonymous Coward

        問題が起きることがありえないのなら、なぜシマンテックのルート証明書は有効期限前に失効になったのか。
        ちゃんとしてないルート証明書があっても、それが見逃されて、広く使われていて、シマンテックのルート証明書以上の問題が起きて
        失効させることで起きるリスクと失効させないことで起こる事象を天秤にかけて、直ちに失効される可能性だって十分あるかと

        ルート証明書の管理運営も、審査とプリインストールも、証明書の失効の判断も人間が運用しているのだから
        間違いも起きるし、ミスコミュニケーションの結果、強硬策(ただちに失効)が取られることもありえる。

    • by Anonymous Coward

      パスワードやクレジットカードを入力しないようなとこは、そういう大規模な問題が発生している最中にアクセスできなくても困らないと思います。というわけで、いずれにせよHTTPSオンリーでいいのではないでしょうか。実際、自分個人が運営しているところはHTTPSオンリーにしました。

  • by Anonymous Coward on 2018年07月30日 18時40分 (#3451953)

    HTTPのままでいてくれ

    • by Anonymous Coward

      今のところLaCoocanがHTTPSに対応していない

  • by Anonymous Coward on 2018年07月30日 17時31分 (#3451871)

    結構最近だったような気が...

  • by Anonymous Coward on 2018年07月30日 17時45分 (#3451887)

    次はsymantecの発行した証明書が無効になって、再発行手続きしてないサイトが露見するわけですね。

    • by Anonymous Coward on 2018年07月30日 18時32分 (#3451944)

      すでに第一段階はありましたよ。
      今年3月リリースのChrome 66から、2016年6月以前に発効されたSymantec系証明書が無効化されたのですが、3年間有効な証明書を買っていたサイトがちらほらエラーになってました。
      # やらかした(慌てて再発行)当事者なのでAC

      親コメント
      • by minet (45149) on 2018年07月30日 19時38分 (#3451996) 日記

        昔は証明書5年とか売ってましたけど、今の感覚だと有効期限3年って長いですよね。
        こういう何かあった時にスパッと切り捨てなきゃいけないのに、何年も余る買い物なんて勿体ない。
        私ゃ今ではすっかり単年更新です。

        親コメント
        • by Anonymous Coward

          あと定期的に更新してないと更新作業が必要なことを忘れて失効させてしまったりなんてことも
          # ドメインあるある

        • by Anonymous Coward

          2018年3月以降、新規に発行されるTLS証明書の有効期間の最長は27ヶ月までになってる。
          実質2年間。3ヶ月追加されているのは、業者間移行をする場合のボーナス分だな

  • 根本的に考えてること違くないか?

typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...