2005年02月01日(Tue) また雪だって [長年日記]
● そして僕は寝坊…
● [memo] 巷のWWWブラウザには実在証明のないSSL証明書を認証するルート証明書がすでに入っている
先日、yamk日記で、セキュリティ証明書を無償で発行する認証機関、CAcert.orgの証明書を巷のブラウザのルート証明書として入れてほしい、という話題がありました。 サービスを提供する側としては、既存の認証機関から高い証明書を買う必要がない、というのはうれしいことなのだけれど、例えばクレジットカードを入力する時に実在証明の無いWWWサイトに入力するのは避けたいので、利用者の面からはあまりいい加減な認証機関の証明書は入れてほしくないな、と思ってました。
ところが、tachのアレゲ日記より、SSL証明書には既に簡易証明書と実在証明もついた証明書があるという指摘。確かに、 https://www.valinux.co.jp/のSSL証明書とhttps://sourceforge.jp/の証明書には違いがありました。
まず、https://www.valinux.co.jpの証明書には、Subjectとして、
と書いてあります。ふむふむVA Linux Systems Japan K.K.は千代田区にあるのか。
一方、sourceforge.jpはどこにあるかというと、
どこにもなーい。どちらの証明書も、Issuerは、
でした。
僕のFirefoxにはこの認証機関の証明書が入っているので、上のページはどちらも警告のダイアログを見ることなしに閲覧することができます。
ということは。現時点ですでに、httpsの通信先が実在する企業である保証は、サイトの証明書を詳しく見ない限り、無いわけですね。これは知らなかった。オンラインショッピングなどをする場合には、httpsでつながっていることを確認するだけでは不十分(意図したホストに暗号化された通信路でデータを送信していることはわかっても、そのホストが意図した企業によって運営されているか確認できない)で、サイト証明書をちゃんと見た方がいいみたいですね。
勉強になった。オンラインショッピングなんてしないけど。
(追記)tachのアレゲ日記でとりあげていただきました。「これ(実在証明のない SSL サーバ証明書)自体は価値がないわけでなく,」とのこと。その通りだと思います。sourceforge.jp/orgは僕もよく利用させていただいてるし、通信路が暗号化されているので安心です。気になったのは、サイトの証明書の詳細を見ないと、そのサイトが、クレジットカード情報を送るに値するちゃんとした会社なのか、ネットワーク上だけの存在なのかわからない、ということです。
![[FSF Associate Member]](/p/171619.png){kind=small}
最近のツッコまれどころ