高木浩光＠自宅の日記 - オレオレ警告を無視させている大学

■ PKIよくある勘違い(10)「正規の証明書でやっているので警告が出たとしてもそれは安全だ」 「サーバをオレオレ証明書で運用するのはケシカランことだ」という認識が普及してくると、こんどは逆に、こんな説明が流行するようになるのかもしれない。今のところ「よくある」という状況ではなく、稀にしかないようだが、こんな事例があった。 「セキュリティの警告」画面が表示される場合があります。 実際にログインしてご利用いただくサーバの証明書には問題はなく、セキュリティ上の心配はございません。「はい」をクリックしてご利用をお続けください。 このサイトは、実際のところ「Cybertrust Japan Public CA」発行の正規の証明書が正しく設定されているようだ。正しいサーバ証明書で運用されているのだから、利用者のブラウザ上でオレオレ警告が現れたなら、それはまさに盗聴されているときだ。それなのに、「はい

[nilab]

高木浩光＠自宅の日記 - オレオレ警告を無視させている大学

[Tarot]

経路上の暗号化だけで、接続先が保証されないのに「セキュリティ無問題」と言っている話

[kimimasa]

高木浩光＠自宅の日記 - オレオレ警告を無視させている大学

[shao1555]

じゃあなんで「オレオレ証明書」をつかいたがるのだろうと考えてみる。たかが数万円のベリサイン証明書が買えないから？ それとも学内で証明書の重要性を認識されずに稟議が通らないから？ それとも？？

[mi1kman]

学内しかアクセスできないページにもたくさんありそう

[SiroKuro]

これ vista の UAC を突破してほしいときにも似たような文面になるんだよなぁ……。どうやって書けばいいのかしらん

[Bookmarker]

珍『通常の商用サイトなどでは、認証機関が発行したセキュリティ証明書を利用する（中略）しかし、本サイトはお互いの存在が分かっている方が利用されますので、自ら発行したセキュリティ証明書を利用しています』

[FTTH]

いや、これは「盗聴された場合は我々が責任を負うことはないので、ユーザがログインしても問題ない」というポリシーではないかと疑う必要がある。　／　「ほーんと、セキュリティは地獄だぜ！！　フゥーハハハ」

[yocchan731]

確信はないけどhttpsの中にhttpなコンテンツがあるときの警告では？