オレオレ証明書とは コンピュータの人気・最新記事を集めました - はてな
SSL通信を行うサーバは、見知らぬクライアントから暗号化されたデータを受け取るために、データの通信を始める前にクライアントに暗号化のための鍵を送る。 しかし、盗聴者*1が通信に割り込んでこの鍵を入れ替えてしまうとクライアントが暗号化してサーバに送信したデータは盗聴者に丸見えになってしまう。 そこでサーバは「サーバ証明書」という形でクライアントに鍵を送る。サーバ証明書は「信頼できる認証機関」が電子署名を施した鍵のことで、クライアントは誰が誰の鍵に署名したかを検証することで、その鍵が確かに自分が通信しようとしているサーバの鍵であることを確認できる(電子署名の偽造はまず不可能だから)。 「信頼できる認証機関」というのは通常はウェブブラウザが知っている(ブラウザの製造元が信頼している)認証機関のことであり、ウェブブラウザは自分の知らない認証機関が署名したサーバ証明書が送られてくると、信頼性を検証で
高木浩光@自宅の日記 - オレオレ証明書の区分 改訂版
■ オレオレ証明書の区分 改訂版 はてなキーワードに「オレオレ証明書」の項目ができていた。 ここにある冒頭の「(特にPKI上不適切な場面で使われる)自己署名証明書。」 という定義は私の定義とは異なる。自己署名とは限らないし、 不適切な場面とも限らないからだ。 そのためその下にある第一種〜第五種の区分の記述と矛盾が生じている。 私の定義では、クライアント側で認証パスを辿れない(検証できない)証明書 のすべてをオレオレ証明書としている。それは、サーバ側の設定ミスかもしれ ないし、設定が正しくても今まさに通信路上で攻撃を受けているのかもしれな い。証明書の発行の意図に関係なく、クライアントから見れば等しく「オレオ レ」と言っているようにしか見えない。 攻撃を受けている場合を除いて、クライアント側でオレオレ証明書となる場合 の、その原因別の区分を9月3日の注釈で書 いていた。他に第六種もあったので
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PC
