鳩丸ぐろっさり (用語集)

bakera.jp > 鳩丸ぐろっさり (用語集) > オレオレ証明書

用語「オレオレ証明書」について

オレオレ証明書 (おれおれしょうめいしょ)

話題 : セキュリティ

信頼できない SSL のサーバ証明書のことです。証明書は「あなたの通信相手は○○です」と主張しているのですが、その主張に裏付けがないため、電話口で誰かが「オレオレ!」と言っているのと同じ程度の信頼性しかありません。

この呼称はLucky Lovely Laboratory(2005-01-12) (www.cubed-l.org)が発祥で、高木さんの 2005-01-15 の日記 (takagi-hiromitsu.jp)で広められました。

普通、SSL のサーバ証明書は以下のような要件を満たしています。

このいずれかを満たさないサーバ証明書には問題があります。

ということです。通信はいちおう暗号化されますが、サーバのなりすましが行われて別人に届いている可能性が否定できません。また、仮に正しい相手に届いていたとしても、途中で man-in-middle 攻撃 (中間者攻撃) が行われているかもしれませんので、傍受されている可能性が否定できません。暗号化というのは「傍受されない」ために行うわけですから、これでは意味がありません。

最近の日記

関わった本など