2010-02-09

http://anond.hatelabo.jp/20100209230226

「機能的には問題ない」って言うのは、「そのサイトが提供したい機能は提供できている」って意味かな?

それはその通り。

ぱっと思いつく問題は2つ。

証明書の配布方法が安全でないので、ユーザが正しい証明書(そのサイトが提供している証明書)をインストールしているか判らない

・正しい証明書の秘密鍵が適切に管理されている保証がない

で、秘密鍵を持ってる証明書さえインストールさせてしまえば、そのユーザに対してはhttpsアクセスであらゆる偽サイトが作れる。

追記:

・「ルート証明書インストールしろと言われたら、セキュリティの警告を無視してインストールして良い」と言う間違った認識を広める

ある意味、これが一番たちが悪い。

記事への反応 -
  • とあるクローズドで期間限定なサイトで、会員にルート証明書のインストールをさせているんだが、これが見事にオレオレ証明書だった。 もちろん、証明書ポリシーもないし認証局運用...

    • 何が問題なのかな 機能的には関係ないのでは?

      • 「機能的には問題ない」って言うのは、「そのサイトが提供したい機能は提供できている」って意味かな? それはその通り。 ぱっと思いつく問題は2つ。 ・証明書の配布方法が安全でな...

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん