オレオレ証明書と OreSign
Posted by yoosee on Web at 2005-01-19 23:42 JST1 オレオレ証明書
CA のサインが無いのに「信頼して貰って構わないよ」とか言ってる証明書を「オレオレ証明書」と呼ぼう、とかそういう話。言い得て妙な名称。最近はその手の話で高木氏が 小学生にセキュリティ警告を無視させる埼玉県 でツッコミまくりで面白い。しかし高木氏は文章ひとつで記載されている相手の印象を上げ下げする技術に長けているなぁ。見習いたくはないけど。
2 SSL の役割
オレオレ証明書クイズ。SSL は基本的には通信内容を第三者に読まれないようにする事が目的。そのために- 通信内容を暗号化する
- 暗号化通信の相手が現在通信中のIP/ドメインである事を証明する
とは言え SSL の役割というのは所詮は上記の通り「通信の秘匿」なので、通信先のサイトが XSS を受けていたりサーバ自体が乗っ取られていたりと言う事象には対処できないし、紛らわしいドメインやブラウザの脆弱性などを回避することも出来ない。そもそものWebサイトが詐欺をしていたりと言う事も回避できない(身元は割れているだろうから証明書がないよりはまし)。まぁ万能ではないけど無いと安全ではないよ、と言う感じか。
CA構築、ちょっと面白いと思うんでやってみるつもりです。
月末には何かできるといいな。