はてなキーワード: ルート証明書とは
「機能的には問題ない」って言うのは、「そのサイトが提供したい機能は提供できている」って意味かな?
それはその通り。
ぱっと思いつく問題は2つ。
・証明書の配布方法が安全でないので、ユーザが正しい証明書(そのサイトが提供している証明書)をインストールしているか判らない
で、秘密鍵を持ってる証明書さえインストールさせてしまえば、そのユーザに対してはhttpsアクセスであらゆる偽サイトが作れる。
追記:
・「ルート証明書をインストールしろと言われたら、セキュリティの警告を無視してインストールして良い」と言う間違った認識を広める
ある意味、これが一番たちが悪い。
とあるクローズドで期間限定なサイトで、会員にルート証明書のインストールをさせているんだが、これが見事にオレオレ証明書だった。
インストール時にセキュリティの警告が出ても無視して下さいときたもんだ。
運用事務局に連絡しても暖簾に腕押し、ヌカに釘状態。
こういう場合、一体どうしたらいいんだろうか?
JPCERT/CCに連絡したら「個別システムの運用ポリシーには対応しません」だって…。
このサイト、少なくとも3100人位参加してる筈なんだけどね…。
産総研も受け付けてくれないだろうしなぁ。
でも、個人に情報流して「情報漏洩だ」とか「営業妨害だ」とか言われたらたまらんし…。
気づいた自分だけ守れれば、見知らぬ3000人は見捨てるべきなんだろうか?
仕事でHTTPSのJavaクライアントの作成が必要になった。
本当に本当に暇でしょうがなくて、
そんなのすぐ実装できるぜ」って、
ググった結果&コメント。
(01)Java Tip 96: Use HTTPS in your Java client code
http://www.javaworld.com/javaworld/javatips/jw-javatip96.html
英語なので読むキがしない後で読むかも?
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=7497&forum=12
よー、わからん。
http://ibiblio.org/java/slides/iw2000/whatsnew/04.html
サンプルコード。
Keytoolとかルート証明書とかはいらないのか?
(04)■[Java]証明書無視のHTTPSクライアント 1.3 & JSSE