パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

静岡県警察、「オレオレ証明書の警告が出たら電話で確認せよ」?」記事へのコメント

  • by Anonymous Coward
    オレオレ証明書は論外として、正規の認証を受けた証明書であっても、
    それは何を証明してくれるのですか?

    以前「本物の」サーバ証明書を持つフィッシングサイト [srad.jp]
    まで出現して話題となりましたが、
    そもそも「正規の証明書」であっても
    接続した相手が何者であるかまでは関知しないものですよね。

    相手の正体は自己責任で判断するしか無いわけですが、
    どのような方法で判断すれば良いのでしょうか。
    よくドメイン名を確認しろと言われますが、
    今回言及されているような、DNS ポイズニングや
    hosts 改竄があったらどうなるのでしょう。
    またオンラインで見付けた通販サイト等、
    そもそも正確な URL など知
    • by Anonymous Coward
      よくドメイン名を確認しろと言われますが、 今回言及されているような、DNS ポイズニングや hosts 改竄があったらどうなるのでしょう。
      いや、だから、静岡県警が言っている通りですって。↓
      SSLを利用しているサイトを利用するときに、
      * 「セキュリティ証明書の名前が無効であるか、またはサイト名と一致しません」や
      * 「このセキュリティ証明書は、信頼する会社から発行されていません」
      といった「セキュリティの警告」が出るような場合は、偽のサイトである可能性が高いので、「続行しますか」と聞かれたら「いいえ」を選択して処理を中止しましょう。
      • by Anonymous Coward on 2006年08月08日 13時03分 (#993045)
        この辺の仕組みがよく分からないのですが、サイト名との一致は
        ブラウザが証明書に書かれた名称とアクセスに用いた URL とを比較してるんですか?

        アクセスに用いる URL は hosts改竄なり何なりで変更できてしまうわけです。
        また証明書に書かれた名称が間違いないことはどのように担保されているのでしょうか?
        フィッシングサイトにすら証明書が発行されてしまう現状においてもそれは信用できるのでしょうか?

        またそのような改竄をせずとも、フィッシングサイトが
        「紛らわしい URL」と「紛らわしい URL のサイトの証明書」を取得していた場合、
        そこに接続してしまったら、正常に鍵マークつきで表示されると思いますが、
        自分がその URL が本物か否かを知らなかった場合、
        その接続先サイトが何であるかをどのように判断すれば良いのでしょうか。

        結局のところ、web 以外の何か信用できる手段で正式な URL を調べない限り、
        安全な ssl 接続はできないということになるのでしょうか。

        総務省のような滅茶苦茶な説明も多い現状、
        知識の無い者がこのような問題に関して勉強しようと思っても、
        得られた情報をどこまで信用して良いのか判断に迷います。
        親コメント
        • by Anonymous Coward

          ブラウザが証明書に書かれた名称とアクセスに用いた URL とを比較してるんですか?

          ええ、そのとおりですね。

          また証明書に書かれた名称が間違いないことはどのように担保されているのでしょうか?

          そのドメイン名の保有者にしか、認証局が証明書を発行しないようにしています。

          フィッシングサイトにすら証明書が発行されてしまう現状においてもそれは信用できるのでしょうか?

          それはフィッシングサイトのドメイン名の証明書ですから。
          本物サイトのドメイン名をつかってファーミング(DNSポイゾニング)しようとしても、証明書の名称と一致せずに警告が出ます。

          • by Anonymous Coward
            細かな解説をありがとうございます
            そのドメイン名の保有者にしか、認証局が証明書を発行しないようにしています。
            技術的に発行できない仕組みになっているならともかく、認証局のミスにより保有者以外に発行されないかという疑問は残りますが、原則としてありえないことにはなっているわけですね。

            初めて訪れたときは、そのドメイン名が意図しているところのものかどうかじっくり調べるか、あるいは、サーバ証明書の組織名部分(実在証明と呼ばれる)を見て自分の意図している組織かどうか調べます。
            私の疑問は、正確な組織名を知らなかったり、フィッシングサイト側が紛らわしい組織名を名乗っていたらどうするのかということであり、やはり web 以外の何らかの方法(含電話)で正式なサイトであることを確認する必要はあるということでしょうか。

            こういう、証明書が何を証明しているのか、それ以外に何を確認すべきか、調べようと思っても紛らわしい情報ばかり溢れていて、本当に困ります。
            • by Anonymous Coward
              私の疑問は、正確な組織名を知らなかったり、フィッシングサイト側が紛らわしい組織名を名乗っていたらどうするのかということであり、やはり web 以外の何らかの方法(含電話)で正式なサイトであることを確認する必要はあるということでしょうか。
              そもそも訪れたことのないところへ誘われても、利用するべきではありません。

              いつも使っているところへ誘われた場合は、URLを確認します。

開いた括弧は必ず閉じる -- あるプログラマー

処理中...