アカウント名:
パスワード:
この認識をもっと浸透させていきたい。
というか、法人はともかく個人でセキュリティ製品の別途導入なんて必要ない。
こういう横着した極論レッテルが、まともな主張の足を引っ張ってんだよな
証明書を差し替えるなんて議論の余地もなく有害でしょうに
暗号化されてる通信に対してセキュリティ機器による監視をするには、途中で一度SSLを復号しなければならず、結果、証明書はその組織のものに差し替えられます。昨今の企業のセキュリティでは常套手段です。
証明書の差し替え(SSLの復号)を行う場所が、ネットワークの途中か、一つのPCの中で収まっているか程度の違いに過ぎません。
普通、そのために、組織専用の証明書を各PCのOSへ信頼する証明書としてインストールしておくけど、Firefoxは、OSの証明書を信頼してくれないので、ちょっと面倒なんですよね。
大きなところだとインターネット官報 [npb.go.jp]は、IEやWindows版ならOSが信頼している証明書を使うChromeは見られるが、Firefoxは自分でルート証明書をインストールしないと見ることができない。
MacOSXやiOSは見ることができるのかな?AndroidはMozillaが信用した証明書を使うから見られないけど。
CN: ApplicationCA2 SubO: Japanese GovernmentOU: Ministry of Financeというコンプライアンス意識がまったくない発行者の証明書だから、信用する訳ないじゃん。
OとOUは別に問題ないが、CNはいい加減に変えろと思う。認証局のCNに組織名が入ってないって何事だよw
暗号化されている通信なんだから、経路で監視をしようととする発想が傲慢で、そもそもおかしい。
添付ファイルのzip暗号化、パスワードの定期的な変更なども、企業のセキュリティでは常套手段ですよね。SSLインスペクションなんてある程度のセキュリティの知識があれば誰でも知ってること。その上で悪手だと言っているのでは。
ローカルのPCに細工することなく、ネットワークの途中で証明書を差し替えできるの?それができるなら、暗号通信なんて意味ないと思うんだけど。
ファイアウォールと称する偽のDNSと偽証明書を持った自動wgetマシンがあって、DNSはぜんぶ192.168.1.1が返ってきて、例えばhttps://srad.jp/index.htmlを叩くとwgetしたコピーがhttps://192.168.1.1/index.htmlに現れる……みたいなイメージですね。
結果、証明書はその組織のものに差し替えられます。昨今の企業のセキュリティでは常套手段です。
「ということにしたいのですね」としか。この手の製品は「MITM型ファイアウォール [wikipedia.org]」と呼ばれていて、こういう製品を主軸に据えている会社があるくらい一部では人気なので、こういう意見が出てくるのは仕方がないことではありますが、公開鍵基盤の敵、というか……
できるだろ。というより何故できないと思ったのか。
そして暗号通信に意味がないと言う以前に、証明書が差し替えられているのだから本来の接続先とは通信は「できない」。結果として暗号通信の安全性は担保される。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
Microsoft以外のセキュリティ製品は有害 (スコア:4, 参考になる)
この認識をもっと浸透させていきたい。
というか、法人はともかく個人でセキュリティ製品の別途導入なんて必要ない。
Re: (スコア:-1)
こういう横着した極論レッテルが、まともな主張の足を引っ張ってんだよな
Re: (スコア:0)
証明書を差し替えるなんて議論の余地もなく有害でしょうに
Re:Microsoft以外のセキュリティ製品は有害 (スコア:1)
暗号化されてる通信に対してセキュリティ機器による監視をするには、
途中で一度SSLを復号しなければならず、
結果、証明書はその組織のものに差し替えられます。
昨今の企業のセキュリティでは常套手段です。
証明書の差し替え(SSLの復号)を行う場所が、
ネットワークの途中か、一つのPCの中で収まっているか程度の違いに過ぎません。
普通、そのために、組織専用の証明書を各PCのOSへ信頼する証明書として
インストールしておくけど、Firefoxは、OSの証明書を信頼してくれないので、
ちょっと面倒なんですよね。
Re:Microsoft以外のセキュリティ製品は有害 (スコア:1)
大きなところだとインターネット官報 [npb.go.jp]は、
IEやWindows版ならOSが信頼している証明書を使うChromeは見られるが、Firefoxは自分でルート証明書をインストールしないと見ることができない。
MacOSXやiOSは見ることができるのかな?AndroidはMozillaが信用した証明書を使うから見られないけど。
Re: (スコア:0)
CN: ApplicationCA2 Sub
O: Japanese Government
OU: Ministry of Finance
というコンプライアンス意識がまったくない発行者の証明書だから、信用する訳ないじゃん。
Re: (スコア:0)
OとOUは別に問題ないが、CNはいい加減に変えろと思う。
認証局のCNに組織名が入ってないって何事だよw
Re: (スコア:0)
暗号化されている通信なんだから、経路で監視をしようととする発想が傲慢で、そもそもおかしい。
Re: (スコア:0)
添付ファイルのzip暗号化、パスワードの定期的な変更なども、企業のセキュリティでは常套手段ですよね。
SSLインスペクションなんてある程度のセキュリティの知識があれば誰でも知ってること。その上で悪手だと言っているのでは。
Re: (スコア:0)
ローカルのPCに細工することなく、ネットワークの途中で証明書を差し替えできるの?
それができるなら、暗号通信なんて意味ないと思うんだけど。
Re:Microsoft以外のセキュリティ製品は有害 (スコア:2)
ファイアウォールと称する偽のDNSと偽証明書を持った自動wgetマシンがあって、DNSはぜんぶ192.168.1.1が返ってきて、例えばhttps://srad.jp/index.htmlを叩くとwgetしたコピーがhttps://192.168.1.1/index.htmlに現れる……みたいなイメージですね。
結果、証明書はその組織のものに差し替えられます。
昨今の企業のセキュリティでは常套手段です。
証明書の差し替え(SSLの復号)を行う場所が、
ネットワークの途中か、一つのPCの中で収まっているか程度の違いに過ぎません。
「ということにしたいのですね」としか。この手の製品は「MITM型ファイアウォール [wikipedia.org]」と呼ばれていて、こういう製品を主軸に据えている会社があるくらい一部では人気なので、こういう意見が出てくるのは仕方がないことではありますが、公開鍵基盤の敵、というか……
Re: (スコア:0)
できるだろ。というより何故できないと思ったのか。
そして暗号通信に意味がないと言う以前に、証明書が差し替えられているのだから本来の接続先とは通信は「できない」。
結果として暗号通信の安全性は担保される。