パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

e-TaxのWebサイト、Firefoxでは信頼できないSSL証明書を使ったサイトと認識される」記事へのコメント

  • by Anonymous Coward
    ブラウザにプリインストールされているルート証明書が
    オレオレよりも信頼できると考える理由がわからない。
    • by Anonymous Coward
      署名も確認せずにブラウザをインストールしたのですか?
      • by Anonymous Coward
        XPをインストールすると署名の確認などなしにいくつかの
        ルート証明書を信頼済みにしたIEがインストールされます。

        で、そういうルート証明書がオレオレ証明書より信用できる
        理由はどこにもないと思うのですが、どうでしょう。
        オレオレ証明書を信用しろといってるのではなく、
        正規の証明書もオレオレと全く同様に、信用しないのが
        いいのではないかと思うのです。
        • by Anonymous Coward

          突き詰めるなら、ブラウザなどにプリインストールされている証明書はいったん全て削除し、信頼できる証明書を自分で選定してインストールすべきですね。
          以前Comodoの再販業者が、身元確認もせずに正規の証明書を発行して問題になっていました [srad.jp]し。

          # 面倒なので僕はやってません

          • by Anonymous Coward
            そもそも信頼できるルート証明書なんて存在しえるんでしょうか?

            私だったら、友人Aを信頼していたとしても、
            彼が「こいつは大丈夫」と太鼓判を押すB氏を
            Aと同等に信頼することは出来ません。
            • Re: (スコア:2, すばらしい洞察)

              「こいつは大丈夫」って意味じゃなくて「こいつはB氏本人です」って意味に過ぎませんよ。

              B氏を信用するかどうかはあなた次第。信用しないなら、そのサービスを利用しなければいいだけです。

              • by Anonymous Coward
                #1706537です。
                おっしゃるとおり。勘違いしてました。

                問題は、認証局そのものを信用していいものかどうかが
                わからんというところだった、というわけですね。
                Trusted AuthoritiesにはいってるAAAとかいう
                名前を聞いたこともない会社が、この人はBさんですと
                保障してくれても、だから何? と。

                # まだ何か間違ってるかな...
              • Re: (スコア:1, すばらしい洞察)

                by Anonymous Coward

                あなたにとっては名前を聞いたことがない会社かもしれませんが、
                ブラウザの開発元が「信用していいよ」っていってる組織なのです。
                それすら信頼できないというのは単に価値観の話ですが、少なくともオレオレ証明書と同等だとは思えません。

                「ルート証明書もオレオレ証明書と同様に信頼できない。」
                 A:「だから、すべてのサイトで秘密情報を一切送信しない。」
                 B:「だから、オレオレ証明書のサイトでも躊躇なく秘密情報を送信する。」
                Aならともかく、Bは無いと思います。

              • by Anonymous Coward

                ああ、失礼。正規の証明書も信用しないという流れでしたね。
                サブジェクトだけ見て勘違いしました。

                それはそれで、ひとつの考え方だとは思いますが、
                個人的には失うもの(オンラインショッピングの便利さとか)が多すぎると思います。
                少なくとも通信経路中で盗聴されていないことは保証されるわけですし。

              • by Anonymous Coward
                通信経路中での盗聴がないのはオレオレでも同じじゃありませんか?

                信頼できる相手でないとできないような通信なら、どっちにしても
                証明書は自分で確認しなきゃ、と思います。

                オンラインショッピングも使いますが、それは店を信用しているわけではなく、
                もしもクレジットカード番号が漏れて悪用されたとしても、
                こちらに大きな過失がなければクレジットカード会社の保険でなんとかなる
                との考えからです。
                実店舗を構えた店でカードを使うときも、同様に店はぜんぜん信用してません。
              • by Anonymous Coward on 2010年01月21日 22時20分 (#1706777)

                通信経路中での盗聴がないのはオレオレでも同じじゃありませんか?

                いいえ。PKIよくある勘違い(1)「オレオレ証明書でもSSLは正常に機能する」 [takagi-hiromitsu.jp]
                例えば、中間者攻撃を受けていた場合でもオレオレ証明書が表示されます。

                信頼できる相手でないとできないような通信なら、どっちにしても
                証明書は自分で確認しなきゃ、と思います。

                わざわざ自分で確認するまでもなく、ブラウザが「偽サーバです」って教えてくれてます。
                偽者の証明書を確認することに意味はありません。

                こちらに大きな過失がなければクレジットカード会社の保険でなんとかなるとの考えからです。

                そういえば、ブラウザの警告を無視してカード番号を入力した場合でも保険って利くんですかね?
                そういう被害が増えればカード会社も対策しそうな気はします。

                実店舗を構えた店でカードを使うときも、同様に店はぜんぜん信用してません。

                これは私も同じです。
                が、オレオレ証明書の警告を無視してカード番号を入力するのは、
                「俺にカード預ければ、あの店で買い物してきてあげるよ」って人にお使いを頼むようなものかと。

                親コメント
              • by Anonymous Coward
                > いいえ。PKIよくある勘違い(1)「オレオレ証明書でもSSLは正常に機能する」
                > 例えば、中間者攻撃を受けていた場合でもオレオレ証明書が表示されます。
                それは、攻撃者の証明書を受け入れたからであって、
                オレオレだからではないと思うのですが、違いますか?

                > わざわざ自分で確認するまでもなく、ブラウザが「偽サーバです」って教えてくれてます。
                > 偽者の証明書を確認することに意味はありません。
                そうでしょうか。
                証明書を持っている人と正規のものかどうかで区分すると4種類に分けられると思います。
                1. 通信したい相手の正規の
              • by Anonymous Coward

                > それは、攻撃者の証明書を受け入れたからであって、
                > オレオレだからではないと思うのですが、違いますか?
                すみません。仰っている意味がよく分かりませんでした。
                「オレオレ証明書で通常運営」されているサイトでブラウザが警告をだした場合、
                「いつものこと」なのか「攻撃を受けているから」なのか判断ができません。
                判断できない以上、盗聴がないとはいえないでしょう。

                > 2が存在しえるので、正規の証明書でも信用してはいけない場合がある。
                > 3が存在しえるので、オレオレでも別途フィンガープリントを確認するなどして証明書を受け入れてもよい場合があ

              • by Anonymous Coward
                > 「オレオレ証明書で通常運営」されているサイトでブラウザが警告をだした場合、
                > 「いつものこと」なのか「攻撃を受けているから」なのか判断ができません。
                認証局のサインのない証明書を、信頼済みとしてブラウザに登録して
                通常運用することを想定していました。
                ブラウザが警告を出した場合、攻撃を受けているからと考えてよいか、と。

                > 再三言われていますが、「相手が偽者でないこと」を証明するのみですから
                > 「本物から攻撃を受ける」ことをPKIで防ぐことはできません。
                にもかかわらず、SSLさえ使えばもう安心というような風潮があるように思えて気になります。
              • by Anonymous Coward
                つまり、あなたのような勘違いしたことを言う技術者が居る限り、一般の人は混乱させられる馬鹿裏ということですね。

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...