ついつい無視しがちな、セキュリティ証明書の警告
以下、すごく勉強になったのでリンクさせて頂きます。
(無断リンク失礼します)
http://
既出の話題であればすみません。
以下、すごく勉強になったのでリンクさせて頂きます。
(無断リンク失礼します)
http://
既出の話題であればすみません。
|
|
|
|
コメント(14)
お初です、
kyoheiさん、
はじめの第一歩です。ただすぃ
MASAさん、
すべての信頼された認証局を信頼しなければ良いデス(にまにま)
cancelさん、
でもそもそもMSを信用するかどうかの問題でしょう。正確には認証局だったりそれを監査した監査法人だったりしますが。
本当は組み込まれている発行機関を信用するかどうかは本人が判断しなければなりません。うーーん、ムズカシイ問題。
有名な認証局だったらいいんじゃないんですかね。
ロードスターくん(敬称略)
昔7糊でした。
tadashiさん、
ブラウザをコントロールするのは人間ですから、大丈夫でしょう。最大の問題は国産ぷらうざをどのようにして「自分が」信頼するかと言うことです。
kyoheiさん、
はじめの第一歩です。ただすぃ
MASAさん、
すべての信頼された認証局を信頼しなければ良いデス(にまにま)
cancelさん、
でもそもそもMSを信用するかどうかの問題でしょう。正確には認証局だったりそれを監査した監査法人だったりしますが。
本当は組み込まれている発行機関を信用するかどうかは本人が判断しなければなりません。うーーん、ムズカシイ問題。
有名な認証局だったらいいんじゃないんですかね。
ロードスターくん(敬称略)
昔7糊でした。
tadashiさん、
ブラウザをコントロールするのは人間ですから、大丈夫でしょう。最大の問題は国産ぷらうざをどのようにして「自分が」信頼するかと言うことです。
えーと、日川佳三さんの話は、
http://internet.watch.impress.co.jp/cda/news/2005/01/12/6028.html
にあるような手法でman-in-the-middle 攻撃を防いでFQDNの真正性が確保できればそれでいいのであって、登記簿がどうの、という話になるVeriSignのサービスは過剰品質ではないか、という話かと。高木さんの
http://takagi-hiromitsu.jp/diary/20050115.html#p01
も似たような趣旨ですが。
多分、SSL/TLSがX.509を証明書フォーマットとして利用していることが過剰品質の根本原因で、本当はVeriSignが提供しているような実在証明は transport security より上の層でアプリケーションに応じて行われたほうがよかったのかなぁ、という感じもします。いまさら遅いかな?
(上の層でやる方式は、思い付きつつあるけど職務発明してみたほうがよい気がするのでここでは喋らない...)。
http://internet.watch.impress.co.jp/cda/news/2005/01/12/6028.html
にあるような手法でman-in-the-middle 攻撃を防いでFQDNの真正性が確保できればそれでいいのであって、登記簿がどうの、という話になるVeriSignのサービスは過剰品質ではないか、という話かと。高木さんの
http://takagi-hiromitsu.jp/diary/20050115.html#p01
も似たような趣旨ですが。
多分、SSL/TLSがX.509を証明書フォーマットとして利用していることが過剰品質の根本原因で、本当はVeriSignが提供しているような実在証明は transport security より上の層でアプリケーションに応じて行われたほうがよかったのかなぁ、という感じもします。いまさら遅いかな?
(上の層でやる方式は、思い付きつつあるけど職務発明してみたほうがよい気がするのでここでは喋らない...)。
えーと、
日川佳三さんがそう考えているのであれば、本人がそのサイトを信用しても良いと思います。というか、警告がでても良いと思っているのであれば信用しても良いのです。
高木さんは、問題があるのに問題が無いと言うのは問題である、と仰っています。 そこが重要です。
http://internet.watch.impress.co.jp/cda/news/2005/01/12/6028.html
も1つのアプローチかもしれませんが、これはWhoisを元に確認したのではなく、メールの到達性で確認する行為であり、Whoisは参照情報に過ぎません。メールの到達性での確認は不十分ではありませんか?
これを受け取ったときに「あなたは」組織の証明書として信用できますか、という問題でしょう。
最後に1つ
実在証明は必要ないとしても、
「その証明書発行申請が本物であるか」
という確認は必要です。それが組織を代表して申請したという証拠が必要なわけです。
日川佳三さんがそう考えているのであれば、本人がそのサイトを信用しても良いと思います。というか、警告がでても良いと思っているのであれば信用しても良いのです。
高木さんは、問題があるのに問題が無いと言うのは問題である、と仰っています。 そこが重要です。
http://internet.watch.impress.co.jp/cda/news/2005/01/12/6028.html
も1つのアプローチかもしれませんが、これはWhoisを元に確認したのではなく、メールの到達性で確認する行為であり、Whoisは参照情報に過ぎません。メールの到達性での確認は不十分ではありませんか?
これを受け取ったときに「あなたは」組織の証明書として信用できますか、という問題でしょう。
最後に1つ
実在証明は必要ないとしても、
「その証明書発行申請が本物であるか」
という確認は必要です。それが組織を代表して申請したという証拠が必要なわけです。
> メールの到達性での確認は不十分ではありませんか?
なるほど、メールの到達性だけでは、DNS への攻撃などでメールをこっそりと奪って偽の証明書を作成するといった手法に対して無力ということはありますね。ただ、ここであげたものは、すでに IEでもMozilla/Firefox でも、組込み済のRoot CAの下のCAでサービスされていて、証明書を鍵アイコンをクリックしてポップアップを出して眺めたところで区別はつかなかったりはします。
つまり、Webブラウザのための基準にはこれで通ってしまっているので、これがダメならそもそもブラウザ組込みのRoot CAの運用をすべて自分でチェックしてやる必要があるということに...。
また、別の観点ですと、メールが信頼ならないというだけの話であって、実在証明がこのレイヤで行われるべきか、というとそれはまた別という考えもあります。DNSSEC のようにドメインの上位レベルが下位レベルを認証すればいい、という考えですね。
そして、「バーチャル」と「リアル」の関係ですが、「リアル」の証明が不要だが man-in-the-middle 攻撃のないことを保証したいケースというのはたくさんあるわけですし、また、現在の証明書サービスの中の実在証明では不十分であったり操作上扱いにくい場合は多いですから、それはそれで別のメカニズムで証明してあげればいい、という設計はありうるわけです(現状でWebブラウザから使える汎用的なものがあるかというと違う気はしますけどね)。
なるほど、メールの到達性だけでは、DNS への攻撃などでメールをこっそりと奪って偽の証明書を作成するといった手法に対して無力ということはありますね。ただ、ここであげたものは、すでに IEでもMozilla/Firefox でも、組込み済のRoot CAの下のCAでサービスされていて、証明書を鍵アイコンをクリックしてポップアップを出して眺めたところで区別はつかなかったりはします。
つまり、Webブラウザのための基準にはこれで通ってしまっているので、これがダメならそもそもブラウザ組込みのRoot CAの運用をすべて自分でチェックしてやる必要があるということに...。
また、別の観点ですと、メールが信頼ならないというだけの話であって、実在証明がこのレイヤで行われるべきか、というとそれはまた別という考えもあります。DNSSEC のようにドメインの上位レベルが下位レベルを認証すればいい、という考えですね。
そして、「バーチャル」と「リアル」の関係ですが、「リアル」の証明が不要だが man-in-the-middle 攻撃のないことを保証したいケースというのはたくさんあるわけですし、また、現在の証明書サービスの中の実在証明では不十分であったり操作上扱いにくい場合は多いですから、それはそれで別のメカニズムで証明してあげればいい、という設計はありうるわけです(現状でWebブラウザから使える汎用的なものがあるかというと違う気はしますけどね)。
さあ、難しい話になってまいりました(汗
信用なんてものは、所詮自分がどう思うかだけなんです。
CAを信用するのに1つづつしらみつぶしても良いし、
MSを「信用」してIEに入っているCAを信用すると決めても良い。
3つもエラーがでる某広○市の証明書を信用しても良いんです。でもこれは広島市の証明書かどうか確かめられない落ちがありますが。
仰るとおり
何か信用できないものがあったら別のもので証明すればいいんです。それが上位CAだったり、さらに上位CAだったり、MSだったり、銃器ネットだったり、国だったり、人だったりするわけです。バーチャルで完結していてその世界で信用できるならバーチャルで証明したって良いデス。
問題なのは、某広○市の役人が事実上
「この証明書を信用しろ」
と強制しているところにあるわけですね。
友達から、「こいつは神武天皇と徳川慶喜の末裔だ」といわれてもねぇ。困るわけです。失礼です。
だから有名ってのも重要な要素だし、企業の証明書の確認がメールの到達性だってのも信用できません。特に書きませんが、DNSをクラックする以外に5〜6個くらい方法がありそうです。
信用なんてものは、所詮自分がどう思うかだけなんです。
CAを信用するのに1つづつしらみつぶしても良いし、
MSを「信用」してIEに入っているCAを信用すると決めても良い。
3つもエラーがでる某広○市の証明書を信用しても良いんです。でもこれは広島市の証明書かどうか確かめられない落ちがありますが。
仰るとおり
何か信用できないものがあったら別のもので証明すればいいんです。それが上位CAだったり、さらに上位CAだったり、MSだったり、銃器ネットだったり、国だったり、人だったりするわけです。バーチャルで完結していてその世界で信用できるならバーチャルで証明したって良いデス。
問題なのは、某広○市の役人が事実上
「この証明書を信用しろ」
と強制しているところにあるわけですね。
友達から、「こいつは神武天皇と徳川慶喜の末裔だ」といわれてもねぇ。困るわけです。失礼です。
だから有名ってのも重要な要素だし、企業の証明書の確認がメールの到達性だってのも信用できません。特に書きませんが、DNSをクラックする以外に5〜6個くらい方法がありそうです。
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
ネットワーク&セキュリティ 更新情報
ネットワーク&セキュリティのメンバーはこんなコミュニティにも参加しています
人気コミュニティランキング
- 1位
- 新・阪神タイガース
- 2492人
- 2位
- お洒落な女の子が好き
- 89926人
- 3位
- 暮らしを楽しむ
- 75389人