信頼できない証明書(オレオレ証明書)
結城さんによるオレオレ証明書クイズが公開されている。 こうやって、何が問題かを自分の頭で考えることは大切だろうね。
ちょっと考えてみたけど、いい答えが思いつかなかった。中間者攻撃を受ける危険があるのは分かるんだけど、改めてもう少し考えてみよう。
(1) 案内文の前半にある「暗号化は正常に行われます」は正しいでしょうか。
正しいとも正しくないとも言えるような。 誰かとの暗号化が「正常に行われ」ているという意味では正しいけど、そのWebサイトとの暗号化が「正常に行われ」ているとは言えない。
(2) もしも「はい」で進み、住所を入力したとすると、どんな危険が考えられるでしょうか。
オレオレ詐欺で偽の口座に現金を振り込んでしまうのと同じように、偽のサイトに個人情報(住所)を送ってしまう危険性がある。
… (1) の答えがスマートじゃないなぁ。もっと誰でも分かる言葉で伝えられないものかな。
関連リンク
追記
SSL の標準版である TLS には、サーバーの認証を行わない「完全匿名モード」 があるらしい (参考) 。 証明書を使わずに、暗号鍵(公開鍵)による暗号化のみを行う(認証はしない)みたい。この文書の「警告」に書かれている、「受動的な盗聴は防げるけど、能動的ななりすましは防げないよ」というのがクイズの答えなんだろうけど…。