- PR -

鍵のアイコンが出ないSSLのページ

投稿者投稿内容
masa
大ベテラン
会議室デビュー日: 2005/05/11
投稿数: 108
投稿日時: 2005-09-14 10:43
こんにちは。

引用:

KENCHさんの書き込み (2005-09-14 10:17) より:
自分で作った証明書の事を、「なんちゃって」とか「オレオレ」とか言うんですね。

私は、自分で「勝手証明書」と呼んでいました。「勝手格付け」みたいなもんです。
だって嘘ついてるわけじゃなんですよね。



個人的にはオレオレ証明書が一番お気に入りです。
証明されていない証明書を証明書として使用させようとするのですから、
詐欺に等しいと思いますよ^^;
angel
ぬし
会議室デビュー日: 2005/03/17
投稿数: 711
投稿日時: 2005-09-14 12:44
こんにちは。
「勝手証明書」も分かりやすくて良いですね。純和風 ( 漢語? ) なふいんきも。
※オリジナリティー溢れる良い名前を産み出すアイデアが羨ましいところ

かく言う私は、断然「ナンチャッテ証明書」派です。何故なら、

 ・歴史の重さが違う。( 数年前から流通 )
 ・片仮名が良い。これは負からない。
 ・そこはかとなく漂うダメダメ感にシビレる。
 ・でも何となく許してしまいそうな可愛さも兼ね備えている。

これには勝てません。えぇ、無敵ですとも。

ところで、「オレオレ証明書」は随分最近になってできた言葉のようですね。
※「オレオレ詐欺」から来ているのは自明なので、まさにしかるべく、ですが

どうも、これを広めた立役者は、以前参考にさせて頂いた事もある高木浩光氏のように思います。
氏の1/15の日記から、誕生秘話(?)が分かりました。
※作者は高木氏ではないですよ

以上、余談 ( 脱線 ) ながら。
綾瀬
ぬし
会議室デビュー日: 2002/07/31
投稿数: 393
お住まい・勤務地: どっちも3階
投稿日時: 2005-09-14 13:32
私は昔は自己署名証明書などと呼んでましたが。
昔はと言いつつ今も変わってないんですが、オレオレが出てきてからは
そっちに流れつつあります。

さて、さらに脱線させてみますが。
ここ数年で実在証明を省略したSSL証明書がたくさん出てきてますよね。
こういった証明書自体があることは別に何とも思わないですし、
私も個人で簡単に取得できるってことで使ってるのですが。
(個人で取得できて実在証明もある証明書も使ってますが価格比べるとね)

ただ、例えばこれをショッピングサイトなどで使ってるところを見ると
ちょっと利用するのをためらっちゃいます。
警告が出るか出ないかの違いだけで、オレオレと同じじゃないの?って
思ってしまうんですよね。
「とりあえず警告画面が出なければいいでしょ」とか考えてそうで。。

できれば運営するサイトの中身などによって使う証明書もちゃんと考えて
欲しいな、と思うんですが、どうでしょう?
angel
ぬし
会議室デビュー日: 2005/03/17
投稿数: 711
投稿日時: 2005-09-14 14:41
こんにちは。
綾瀬さんのコメントに驚いて見てみたら、年間¥10,000以下の証明書もあるのですね。
でも、それは信用の安易な切り売りでは無いかと…。

最近、依頼を受けて Verisignの証明書をとったのですが、リクエストにより日本ではなく米国のサイトで申請しました。こっちの方が幾らか安いです。
依頼者曰く、
「日本での審査は大げさ過ぎる」
「アメリカでは、会社なんて書類と電話だけでできる」
「だからアメリカで手続きする方が楽だ」

…といいつつ、しっかり実在証明書類は送る必要があったのですが。
「何をもって実在証明とするか」も難しいと感じたある日のことでした。
おっきー
大ベテラン
会議室デビュー日: 2003/05/01
投稿数: 104
投稿日時: 2005-09-14 14:42
引用:

コナンさんの書き込み (2005-09-13 12:51) より:
入力フォームのあるHTMLファイルについて、HTTPで取得したときは証明書を確認できないですよね。
その入力フォームの送信先がSSLのときはデータを暗号化して送信できるけど、でもそれだと
SSLにするメリットのうち、「なりすましの防止」には意味がないなと思って書きました。
#ベリサインシールとかがあれば、そっちで確認できますけどね



こちらこそすみません。よく読んでませんでした。

運用側としては、できるだけ不要なSSL通信はして欲しくないという
心理が働いてしまいます。
暗号化の処理は重いのと画面遷移を管理するのが大変なので(^^
ちょっとせこいかなと思いますが・・・。
コナン
ベテラン
会議室デビュー日: 2005/01/31
投稿数: 98
投稿日時: 2005-09-14 16:15
こんにちわ。

引用:

おっきーさんの書き込み (2005-09-14 14:42) より:


いえ、こちらこそ

引用:

綾瀬さんの書き込み (2005-09-14 13:32) より:

「とりあえず警告画面が出なければいいでしょ」とか考えてそうで。。

できれば運営するサイトの中身などによって使う証明書もちゃんと考えて
欲しいな、と思うんですが、どうでしょう?


個人情報の管理とかもちょっと心配になったりしますね。
僕はショッピングサイトを利用したことがないんですけど、「欲しい!けど怪しい…」みたいなかんじでしょうか。
angel
ぬし
会議室デビュー日: 2005/03/17
投稿数: 711
投稿日時: 2005-09-15 09:42
おはようございます。
引用:
おっきーさんの書き込み (2005-09-14 14:42) より:
運用側としては、できるだけ不要なSSL通信はして欲しくないという
心理が働いてしまいます。
暗号化の処理は重いのと画面遷移を管理するのが大変なので(^^
ちょっとせこいかなと思いますが・・・。



そのお気持ちは良く分かります。
※と言いつつ、実運用で SSLの負荷を実感したことが無い…

が、フォーム画面も https にするというのは、SSLの信頼性の上では要石になりますから、負荷の問題とは釣り合いが取れないと思っています。
※ それに、全ページ https にしなくとも、必要な情報を載せたフォーム画面 1ページ分の htps化で済むのですし

また、それゆえに、KENCHさんの元の疑問は非常に的を射ていると思いますよ。
masa
大ベテラン
会議室デビュー日: 2005/05/11
投稿数: 108
投稿日時: 2005-09-15 09:59
おはようございます。

引用:


運用側としては、できるだけ不要なSSL通信はして欲しくないという
心理が働いてしまいます。
暗号化の処理は重いのと画面遷移を管理するのが大変なので(^^
ちょっとせこいかなと思いますが・・・。




開発側から見ると、ログイン機能のあるアプリケーションでは、https
オンリーでの開発を行いたいですね。
http,httpsが混在する画面遷移でCookieの盗聴まで考慮すると、
https用Cookieとhttp用Cookieの2つを管理しないといけないので^^;

スキルアップ/キャリアアップ(JOB@IT)