アカウント名:
パスワード:
この場合に限って言えば,ブラウザが出す警告が 「ドメイン名と証明書が一致していない」のみであり, 証明書を表示してGTE CyberTrustをRoot証明書として署名された 正規の証明書であることを確認すれば,一応は安全です。
しかし,ブラウザが出すSSLの警告について, ・ドメイン名と証明書が一致していない ・正規の認証局で署名された証明書ではない の区別を一般人に要求するのは無理であり,本当にやばい状況である 後者についても「このサイトででる警告は無視してOK」と続行されたら, 危険極まりないことになります。
ましてや利用している人が「SSLの警告は無視してもいいんだ」という 誤った知識を情報を学習し,他の状況でもSSL警告を無視するようになると, SSLが保障しようとしている安全性が根幹から崩れてしまいます。
だから、証明書を表示して署名者が正しいか確認するだけじゃなくて、加えて、その発行先ホスト名がどこなのかまで確認して初めて「一応は安全です」と言えます。
違いますよ。・・・ だから、証明書を表示して署名者が正しいか確認するだけじゃなくて、加えて、その発行先ホスト名がどこなのかまで確認して初めて「一応は安全です」と言えます。
そうなんだけど、それも少し違う。「発行先ホスト名がどこなのかまで確認」することが容易じゃない。そういうブラウザもあるという指摘が高木氏の最新エントリー [takagi-hiromitsu.jp]で解説されてる。Firefox だと SubjectAltName に書かれたホスト名まで見ないといけないそうだ。
しかも、高木氏は書いてないけど、ネタ元 [toedtmann.net]の指摘にあるように、ワイルドカードで指定されていると詐称できる範囲が任意になってしまうという別の問題もあるらしい。つまり、Common Name に *.jp とか書いてある証明書を受け入れちゃうと、任意の .jp サイトを詐称されてしまうという話。あー、いや、その場合は正規の認証局は発行しないんだろうけど。
で、Firefox 3 なら大丈夫だけど、「発行先ホスト名がどこなのかまで確認」すれば安全な、そういうブラウザはあるかもしれないけど、標準規格があるわけじゃないから頼っちゃ駄目、ってのが高木氏の主張ですね。
なぜなら、攻撃者がGTE CyberTrustから正規の手順で証明書を取得して(もちろんそれは別のドメイン用のものですが)それを使って盗聴するでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
で結局安全なの? (スコア:0)
Re:で結局安全なの? (スコア:5, すばらしい洞察)
この場合に限って言えば,ブラウザが出す警告が
「ドメイン名と証明書が一致していない」のみであり,
証明書を表示してGTE CyberTrustをRoot証明書として署名された
正規の証明書であることを確認すれば,一応は安全です。
しかし,ブラウザが出すSSLの警告について,
・ドメイン名と証明書が一致していない
・正規の認証局で署名された証明書ではない
の区別を一般人に要求するのは無理であり,本当にやばい状況である
後者についても「このサイトででる警告は無視してOK」と続行されたら,
危険極まりないことになります。
ましてや利用している人が「SSLの警告は無視してもいいんだ」という
誤った知識を情報を学習し,他の状況でもSSL警告を無視するようになると,
SSLが保障しようとしている安全性が根幹から崩れてしまいます。
Re:で結局安全なの? (スコア:2, 参考になる)
だから、証明書を表示して署名者が正しいか確認するだけじゃなくて、加えて、その発行先ホスト名がどこなのかまで確認して初めて「一応は安全です」と言えます。
Re:で結局安全なの? (スコア:2, 参考になる)
そうなんだけど、それも少し違う。「発行先ホスト名がどこなのかまで確認」することが容易じゃない。そういうブラウザもあるという指摘が高木氏の最新エントリー [takagi-hiromitsu.jp]で解説されてる。Firefox だと SubjectAltName に書かれたホスト名まで見ないといけないそうだ。
しかも、高木氏は書いてないけど、ネタ元 [toedtmann.net]の指摘にあるように、ワイルドカードで指定されていると詐称できる範囲が任意になってしまうという別の問題もあるらしい。つまり、Common Name に *.jp とか書いてある証明書を受け入れちゃうと、任意の .jp サイトを詐称されてしまうという話。あー、いや、その場合は正規の認証局は発行しないんだろうけど。
で、Firefox 3 なら大丈夫だけど、「発行先ホスト名がどこなのかまで確認」すれば安全な、そういうブラウザはあるかもしれないけど、標準規格があるわけじゃないから頼っちゃ駄目、ってのが高木氏の主張ですね。
Re:で結局安全なの? (スコア:1)
CPS [cybertrust.ne.jp]を読む限り,CyberTrustは申請者の身元を
オフラインで確認して証明書を発行している。通常,攻撃者は自分の
身元を隠す必要があるはずで,自身で取得したCyberTrustの証明書を
もちいて犯罪行為を行うことは考えにくい。
可能性があるのは,何らかの方法で盗難された証明書をもちいて盗聴が行われる
ケースだが,このような場合,正規の使用者から直ちに電子証明書失効の
手続きがとられ,CRLによって無効化されることが期待できる。