TenForward

技術ブログ。はてなダイアリーから移転しました

Firefox 3のSSL対応方針、どう思う? (スラッシュドット・ジャパン)

本家記事は読んでないので,日本語の紹介とコメントだけを読んだ感想です.私には何が問題なのかイマイチ分からないのですが,それが日本語の方だけ読んでいるから,だったらスミマセン.

Firefox 3では、自己署名されたSSL証明書や承認されていないベンダー(新興のものや非営利のベンダーなど)によって署名されたSSL証明書を使用しているサイトに接続しようとすると、警告が発せられる。この警告が発せられない状態にするには、サイトはFirefox認証のベンダーに有料の証明書を発行してもらう必要がある。

http://slashdot.jp/security/article.pl?sid=08/08/06/0237247

元々 Firefox 2 であろうが,1 であろうが,発せられてましたよね.多分,あの「エラー画面としか思えない」画面が,とてもこれ以上先に進もうと思えない厳しい言葉で警告される,事を言っているのだろうと思いますが...

これが問題だ,という話ですが,そうですかね?

  • 「自己署名されたSSL証明書」ってのは,いわゆる「オレオレ証明書」な状態なんですが,通常のウェブサイトの運営で「自己署名されたSSL証明書」ってのはそもそもありえないというのが正しい姿ですね.それを分かった上で,個人で使うようなサイトでこのような証明書を使うのであれば,Firefox3 でも,警告を無視して先に進む方法は用意されているので,特に問題はないでしょう.
  • 「承認されていないベンダー」の場合に警告が出るのに対して,「サイトはFirefox認証のベンダーに有料の証明書を発行してもらう必要がある」という件ですが,これも当たり前でしょう.そもそも,証明書を発行するようなベンダーが「承認されていない」のが問題なんで,ベンダーが承認されるようにすれば良いんですよね.それと,証明書の発行にお金がかかるのと,「承認されているベンダー」「承認されていないベンダー」ってのは,そもそもレイヤーが違いますよね.ま,現実的に承認されるような事をやると,(どこかから) お金を取ってやらないとやってられないわけで,現時点では,証明書を発行してもらうにはお金を払わないといけない,という事になっているだけで.

SSL証明書を使った暗号化ってのは,単に技術的な話,というだけではなく,PKI という仕組みの上に乗っかったインフラなわけですから,このような仕組みになるのは仕方のない話でしょう.

氏は、「自己署名SSLのサイトがEV SSLと同じ扱いをされるべきとまでは言わないが、だからといって全く暗号化されていないサイトへの接続時よりも『安全でない』といった印象を与えるべきではない」と指摘する。

http://slashdot.jp/security/article.pl?sid=08/08/06/0237247

そもそも,暗号ってのは

  • きちんと確認された相手と行う

ものです.そうじゃなければ,暗号じゃない.

なんで,

  • 「全く暗号化されていないサイト」は,安全か安全でないか確認出来ない.
  • 「警告の出る暗号化されているサイト」は,元々きちんと確認出来るのが当たり前な所に警告が出ているので,安全でない可能性が高い.

ということなんじゃないですかね.元々暗号化が必要な情報を扱う部分で,このような警告が出るのは,言い方,考え方次第では「暗号化されていないサイトよりも危険」とも言えるかもしれません.