オレオレ証明書と OreSign

Posted by yoosee on Web at 2005-01-19 23:42 JST

1 オレオレ証明書

CA のサインが無いのに「信頼して貰って構わないよ」とか言ってる証明書を「オレオレ証明書」と呼ぼう、とかそういう話。言い得て妙な名称。

最近はその手の話で高木氏が小学生にセキュリティ警告を無視させる埼玉県でツッコミまくりで面白い。しかし高木氏は文章ひとつで記載されている相手の印象を上げ下げする技術に長けているなぁ。見習いたくはないけど。

2 SSL の役割

オレオレ証明書クイズ。SSL は基本的には通信内容を第三者に読まれないようにする事が目的。そのために

通信内容を暗号化する
暗号化通信の相手が現在通信中のIP/ドメインである事を証明する

と言うことをしている。証明書が正しくないとしても 1. は満たされるので、通信は暗号化される。しかし 2. の「相手が第三者ではない」と言う保証がなくなるので、通信先が乗っ取られていたり、成りすましされたりする可能性は否定できなくなる。と言うわけで「信頼できる証明元(主にはブラウザに初めから入っているもの)から送信元の正当性が証明されている」事は安全な通信には必須だったりする。もちろん自分で建てた SSL サーバを自分で使う、等の場合には予め自分の証明が自分で出来るので、ブラウザに証明書を登録しておけば良い。

とは言え SSL の役割というのは所詮は上記の通り「通信の秘匿」なので、通信先のサイトが XSS を受けていたりサーバ自体が乗っ取られていたりと言う事象には対処できないし、紛らわしいドメインやブラウザの脆弱性などを回避することも出来ない。そもそものWebサイトが詐欺をしていたりと言う事も回避できない(身元は割れているだろうから証明書がないよりはまし)。まぁ万能ではないけど無いと安全ではないよ、と言う感じか。

3 OreSign

で、この日記で何が書きたかったかというと OreSign に CA やって欲しいなー、と言いたかっただけだという。

( Permalink | Comments (2) | tags: security )

Comments

1. OreSign Tech Team at 2005-01-26 01:20 (link)

お世話になります。オレSign技術部です(え)

CA構築、ちょっと面白いと思うんでやってみるつもりです。
月末には何かできるといいな。

2. yoosee at 2005-01-26 21:52

期待してます。しかしこのページのGoogle広告がVeriSignとGeoTrustと言うのがちょっと笑える。

About W.W.Walker

World Wide Walker は yoosee による blog です。PDA, Web・サーバ技術, 美味しい食べ物などの話題を取り上げています... read more