GPKI & LGPKI

高木浩光＠自宅の日記より。SSL通信時に警告がでる（証明書の発行機関が信頼できない）のに、そのまま「はい」を押すように指示しているという話。

5年ほど前にSSLが本格的に使われだしたときに、「SSLを使えば安全」という話が単純化されてここまで来てしまったのかもしれない。 証明書の有効期限が切れていても、信頼される発行機関（認証局）から証明書が発行されていなくても、「暗号化されているんだから大丈夫じゃん」と単純に考えてしまうんだと思う。

実際、信頼される発行機関からの証明書が必要な理由を説明するのは、結構大変。要は、「暗号化」だけでなく「接続先のサーバーの認証」も大事だよって話なんだけどね。 フィッシング詐欺が増えれば、この必要性も理解されるようになるかな…。

まぁ、1日か2日くらいかけて、結城さんの暗号技術入門や IPA のPKI 関連技術解説を読めば、基本は分かるようになるけど、コンピューターを使う全ての人が理解するのは無理な話。

それじゃ困ったな…と思ったけど、高木さんの日記の最後に書かれている、簡単な結論を読んで、当たり前のことだけどすごく納得した。

ようするに、Webアプリケーションの発注仕様書に、「ブラウザが警告をひとつも出さないこと。」という要件を入れておくだけでよい

確かにその通りかと。面倒なことはコンピューターにやってもらうのが一番。