オレオレ証明書

やっぱりPKIはあまり理解されていないのか？

4月 182007

スラッシュドットジャパン｜IE7の普及でサーバ証明書失効トラブルが続出するかも?
特定の相手に限定してオレオレ証明書を使うのはありうる(社内向けとか)が、その利用方法として警告が出ても続行しろというのは誤ってる、という話がそもそもあるんだが、それも理解できないのかね。
警告が出ないようにするのが正しいんだよ。社内であれば安全に配布する方法もあるだろう？[1. よほどの大企業なら金払って証明書を買ったほうがコスト的に楽そうだが。]
その上で、警告が出たら続行できないようにしてしまえというのは、過激だが意見としては一貫している。
ただこの意見が言うとおり、自己署名証明書を使ってSSLを使う製品が山ほどあるんだよな。まあ、管理者に手作業で配ればいいだけの話か。
「オレオレ証明書」という単語については俺にも責任があるが、もう2年も前に高木氏が解説している事項なのに未だこれだけ理解できていない人がいるという現状を考えるとキーワードでレッテル張りしてしまうのも一つの手だとは思う。
当然、わかってる人間に対してはその単語を使わずに解説する必要もあるとは思うんだが。
あまり考えずに勢いで書いたから後からStrike使って消すこともあるかも知れんなぁ。

WindowsUpdateによる電子政府システム向けルート証明書の配信について

オレオレ証明書, セキュリティ 1 Response »

9月 282006

Windows Updateで電子政府システム向けルート証明書の配信を開始(ITmedia記事)
マイクロソフトが電子政府システムのルート証明書をWindows Updateで配布(ITpro記事)
Windows(R) Updateによる電子政府システム向けルート証明書の配信を開始(Microsoftプレスリリース)
ルートCA証明書の配布をMicrosoftに任せると言うこと自体は、安心できる配布ルートを作成すると言う意味で望ましい方向性だ。これにより次期バージョンであるWindowsVistaには最初から日本政府のルートCA証明書がプリインストールされることにもなるのだろう。これはいい。
~~しかし、現状のシステムには問題がある。~~
WindowsUpdateの機能を用いて検証に必要な証明書を自動的にダウンロードする[1. Windows XPとWindows Server 2003のみ。Windows2000はWindowsUpdateで明示的に更新する必要性がある]のは確かに便利だが、この自動ダウンロードはHTTPで通信しているのである。
これでは非SSLのサーバからルートCA証明書をダウンロードしているのとまるで変わりがない。何の解決にもなっていないし、PKIの仕組みを理解していないことを公言しているようなものではないか。
パケットをキャプチャする限りではWindowsUpdateサーバには一度GETリクエストを送り、レスポンスとしてルートCA証明書が送られるだけだ。WindowsUpdateには署名検証の機能があったと記憶しているが、それに必要な署名が付加されている様には見えない。
これでは高木浩光氏が定義するところの「第二種オレオレ証明書」をより簡単に利用させることにしかならない。
(2006/10/02追記)
トラックバックを受けて誤りを削除した。詳細はに記した。

OreSign.jp(なんとか.com:サーバ管理者日誌より)

オレオレ証明書, セキュリティ, ネタ No Responses »

1月 192005

OreSign.jp(なんとか.com:サーバ管理者日誌より)

あっはっは！クリックするとオレオレ証明書の警告が出てきますので、「はい」を押すと（本当はいけませんよ）オレSignというジョークサイト（とは言ってもロゴくらいだけど）が表示される。

タイトルといい、証明書のサブジェクトといい、ネタ満載。GJ!

あ、ちなみにオレが確認したときの証明書のfingerprintは

「79 f0 58 04 65 0a 4f f6 62 5a ab 09 6a fc 9b 09 09 e2 7d 36」

でした。

(´・ω・`)ショボーン

オレオレ証明書, セキュリティ, 日記 No Responses »

1月 182005

妹分や彼女は証明書の存在自体を意識してなかったよ…