*1  POP over SSL で証明書の多くがオレオレである理由

それにしても、上のオレオレ事業者たちは、なぜ普通にサーバ証明書を買わないのだろうか?高木浩光@自宅の日記 - APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に

VeriSign がサポートしていないからでは? GeoTrust ではクイックSSLプレミアム等がサポートしているけど、最大手の VeriSign では基本的に Web 用 SSL証明書しか販売してない。使っちゃいけないということでは無いはずだけれど、公式なサポートが無いものはビジネスではかなり使いにくい。

*2  POP over SSL は必ずしも公式な証明書が必要なわけではないが

そもそも不特定多数のユーザ対不特定多数のWebサーバという図式の HTTPS と違い、POP over SSL (や、MUA→MTA/MSA間の SMTP over SSL) の場合、公式認証局の証明書である必要自体は無い。証明書が正しいことを確認出来さえすれば、それを一度インストールしてしまえば問題が無いからだ。つまりは例えば Fingerprint が印刷された紙でも郵送するなり、正式な証明書を用いた https のサイトに証明情報と手順を出しておけば済む。と言うわけで POP over SSL に関して言えば「オレオレ証明書」が必ずしも悪とは限らない。

もちろん例として挙げられているような「証明書のチェックを無視する」と言うのは DNS poisoning や Man in the middle attack に対して無力なのでやるべきではない。また一般ユーザのレベルを考えれば、多少でも手順を省くために公式な証明書を使うのはよいアイディアなのは確かである。しかし VeriSign がサポートしていない現時点ではなかなか難しいだろうし、そもそも残念な事に大多数のユーザは今も over SSL や APOP どころか平文 POP3 を使っているというのが現実だったりするので、まずはそのあたりから始めないとなんともならないのではなかろうか。

まぁ POP over SSL を使っても peer to peer で暗号化されるわけでは無いので、どこまで注力すべきかというのは(パスワードの暗号化をのぞけば)微妙な気もしているが。

( Permalink | Comments (0) | tags: security  mail  )
Comments

Please write your comment. email address won't appear. Cannot use any HTML tags in comment.
コメントをお書き下さい。メールアドレスは公開されません。 またHTMLタグは利用できません。
Name   E-mail   URL
Comment

About W.W.Walker

World Wide Walker は yoosee による blog です。PDA, Web・サーバ技術, 美味しい食べ物などの話題を取り上げています... read more

このエントリーのブックマーク

Monthly Archives

Select Month to read