全く持って同意いたします。違いを説明しようとして以前大変苦労した覚えがあります。
下の記事は多くの人にご覧頂きたいですね。
#他の人に説明している自分も、「自分、理解しているか?」と自問自答しながら日々研鑽を目指しておりますが。
高木浩光@自宅の日記 http://takagi-hiromitsu.jp/diary/20071125.html#p01
> ■ オレオレ警告の無視が危険なこれだけの理由
(中略)
> 1. 何も知らないが、出た警告に危険そうなことが書かれているので、
> 常に「いいえ」を押すようにしている人
(中略)
> たしかに、警告の内容と証明書の内容によっては見に行って大丈夫な
> 場合もある。
(中略)
> しかしそのとき、証明書の発行者が正規の認証局であることも
> つまり、Intnernet Explorer ならば、図8の (a) と (b) のどちらなの
> かを見分けなくてはならない。
> 図8: 2種類のオレオレ警告
> 証明書の仕組みを理解していない一般の人々に対して、これらを見分け
> ろというのは酷な話だろう
> PSPの場合、図7の1つ目と2つ目の警告を見分ける必要があるが、それら
> の意味の違いをいったいど
> れだけの人が理解できるというのだろう?
>
> また、Internet Explorer 7 では、アクセスする前に証明書の内容を確
> 認することができなくなった。(中略)
> 結論
>
> 話が長くなったが結論は単純で、「オレオレ警告が出たらいか
> なる場合もアクセスを中止すること」と
> 心得ておけばよい。
> 興味本位でオレオレ警告の出るサイトを見に行く場合には、十分な知識
> を持って適切な手順でブラウザを
> 使用しないと、被害に遭う危険性がある。(後略)
※ 引用部内の強調部分は平社員によるものです。
問題の図ですが、是非ともこのサイトを見に行って、この記事「全文」を読んで欲しいと思います。
「一部分だけを取り出して読むと誤解する恐れがある」と思いますので。
私感ですが、興味本位で警告を無視するどころか、「警告に全く無頓着な方も多い」と感じます。
で、IE6 のユーザさんとかが、「ふっと」改めて読み返してみて、「どういう意味なの?大丈夫?」とお尋ねになって来るわけですね。
IE7 で警告メッセージはほんとうに良くなったと思います。
(覚え書き)
とても気になる部分がありますね。Firefox 3 では警告メッセージ等が変わると云うことらしいです。
> ところが、先週Bugtraqに投稿された指摘によると、証明書の
>「subjectAltName」欄まで見なければ、確認したことにならないという。(中略)
> そのため、指摘者は、図10の警告で「subjectAltName」欄の内容も表示す
> るべきだという提案をしている。
>
> これに対し、Mozillaプロジェクトは、Firefox 2 では直さないとしている
> そうだ。(先ごろベータテストが開始されたばかりの)Firefox 3 では、
> オレオレ警告の出し方を変更しているためこの問題はないようだ。(後略)
(参照先の覚え書き)
● SecurityFocus http://www.securityfocus.com/archive/1/483929/30/0/threaded
> Certificate spoofing issue with Mozilla, Konqueror, Safari 2
> Certificate spoofing issue with Mozilla, Konqueror, Safari 2 Nov 18 2007 07:43PM
> Nils Toedtmann (securityfocus nils toedtmann net) (1 replies)(Snip)
> Re: Certificate spoofing issue with Mozilla, Konqueror, Safari 2 Nov 19 2007 10:51PM
> Kapetanakis Giannis (bilias edu physics uoc gr) (3 replies)(Snip)
Nils Toedtmann さんはドイツ
語圏の方でしたか。Web サイト(ホームページ)は wiki なページで on Apache/Linux のようですね。(接続はドイツ Marcant Internet-Services GmbH みたいです。)
#サーバが東京だからってコンテンツの書き手が日本人とは限りませんが、この場合たぶんドイツと云うことで。(w
● NilsWiki http://nils.toedtmann.net/pub/subjectAltName.txt
> # Phishing for Confirmations #
> # #
> # Certificate spoofing with subjectAltName and domain name wildcards #
(Snip)
> Abstract
> ==========
>
> Modern browsers accept more than one (wildcard) domain name within a X.509
> certificate, although displaying only one of them (the DN's CN) to the user.
> It is essential for preventing TLS-enriched domain name spoofing to bind
> user-approved certificates from unknown CAs to the presenting hostname.
>
> Mozilla based browsers, Konqueror and Safari 2 fail that binding, so once a
> user accepted a certificate issued by a CA unknown to the browser, he is
> vulnerable to certificate spoofing.
>
> To make things worse, some browsers match generic wildcard domain names
> like *.com or even *.
>
> There's a demonstration at http://test.eonis.net/, check it out.
>
(Snip)
> * [subjectAltName-not-shown]
> Not displaying existing subjectAltNames in the standard certificate view
> is - alone - a slight security issue. But it worsens the next one as the
> user has almost no chance to notice a spoofing attempt.
>
> Results: All tested browsers suffer from this.
(Snip)
> * Mozilla based
>
> loose-wildcard-match: Affected [9, #159483 from 07/2002]
> subjectAltName-not-shown: Affected [9, #238142 from 03/2004]
> no-cert-name-binding: AFFECTED! (<=1.9 M8) [9, #240261 from 04/2004]
> servercert-storage: Yes
>
> Note: Mozilla 1.9 (>= M9) incorporates a new, sophisticated version of its
> certificate manager "Personal Security Manager" (PSM) which binds certs to
> hostnames. Upcoming Firefox 3 will be based on this.
>
この件での Firefox 3 に対するMozilla の公式見解を自分では見つけられませんでした。
いじょうです。
- -
