🐡HTTPS通信/SSLサーバ証明書、そろそろちゃんと理解する。2023/05/03に公開4件TLSSSLhttpsサーバ証明書techDiscussionangel_p_572023/05/04 なんとなくでHTTPS通信の仕組みは理解してるつもりだった(´_ゝ`) 基本的に出回ってる情報はほぼデマなので、単に情報整理しても理解には結びつきません。 実際この記事でも「SSLサーバ証明書とは」「サーバ証明書の検証の流れ」「HTTPS通信が確立されるまで」ほぼほぼ間違いです。 まずは情報を鵜呑みにする前に、どうすればウラがとれるのかを気にした方が良いと思います。 なお、「オレオレ証明書がダメな理由」ですが、「当然」と言えるようでなければ理解したとは言えないと思います。 ※証明書の役割を正しく把握していれば、オレオレ証明書があり得ないことは言うまでもないことなので 返信を追加crsc12062023/05/05に更新 基本的に出回ってる情報はほぼデマなので、単に情報整理しても理解には結びつきません。 ご指摘ありがとうございます...! おっしゃる通りネットにある情報を参考にしているので、学習本買うなどして理解を改めます。 返信を追加angel_p_572023/05/06 おっしゃる通りネットにある情報を参考にしているので、学習本買うなどして 私の言ってる「出回ってる情報」は、別にネット限定ではないですよ。書籍もほぼ信用できません。理由は簡単で、書いている人自身がウラを取っていない、理解して書いてない、伝言ゲームしている、そんなところです。 ただ、通称「暗認本」は数少ない例外で、信用して問題ないでしょう ( ただそれでも「ウラをとる」という姿勢は捨ててはいけません ) あとは、プロフェッショナルSSL/TLSも、流石に専門で扱ってるので大丈夫かとは思いますが、かなり内容が細かいので、概要を掴むのに向いているかは不明です。 返信を追加hydeniwa2025/05/21古い記事へのコメントで恐縮です。 2025年3月ぐらいから巷で問題となってる証券口座乗っ取り被害の手口について、分かりやすく簡便な安全確保の方策がないものか、ぼんやり調べてます。 手口として、一定数必ずあるだろうといわれているフィッシングサイトを見分けるのにSSLサーバ証明書が役に立たないか?と思っています。 ブラウザ機能で証明書を都度確認できるとしても、その内容を素人判断できるのか?も厳しいですよねぇ。 方法も素人には難しいかも、ですし。 証明書の発行元が信頼できそうかどうか、ランク付けして表示してくれるようなブラウザ機能とかブラウザ期の拡張ってできないですかねぇ。 GoogleなんとかやVelisinとかは青、ちょっと怪しいかもってのを黄色、過去フィッシングサイトで使われた実績のある発行元やらを赤、とか表示し、赤は問答無用で排除警告をいったん表示するとか、黄色もいったん注意警告表示を挟むとか。 返信を追加
angel_p_572023/05/04 なんとなくでHTTPS通信の仕組みは理解してるつもりだった(´_ゝ`) 基本的に出回ってる情報はほぼデマなので、単に情報整理しても理解には結びつきません。 実際この記事でも「SSLサーバ証明書とは」「サーバ証明書の検証の流れ」「HTTPS通信が確立されるまで」ほぼほぼ間違いです。 まずは情報を鵜呑みにする前に、どうすればウラがとれるのかを気にした方が良いと思います。 なお、「オレオレ証明書がダメな理由」ですが、「当然」と言えるようでなければ理解したとは言えないと思います。 ※証明書の役割を正しく把握していれば、オレオレ証明書があり得ないことは言うまでもないことなので 返信を追加
crsc12062023/05/05に更新 基本的に出回ってる情報はほぼデマなので、単に情報整理しても理解には結びつきません。 ご指摘ありがとうございます...! おっしゃる通りネットにある情報を参考にしているので、学習本買うなどして理解を改めます。 返信を追加
angel_p_572023/05/06 おっしゃる通りネットにある情報を参考にしているので、学習本買うなどして 私の言ってる「出回ってる情報」は、別にネット限定ではないですよ。書籍もほぼ信用できません。理由は簡単で、書いている人自身がウラを取っていない、理解して書いてない、伝言ゲームしている、そんなところです。 ただ、通称「暗認本」は数少ない例外で、信用して問題ないでしょう ( ただそれでも「ウラをとる」という姿勢は捨ててはいけません ) あとは、プロフェッショナルSSL/TLSも、流石に専門で扱ってるので大丈夫かとは思いますが、かなり内容が細かいので、概要を掴むのに向いているかは不明です。 返信を追加
hydeniwa2025/05/21古い記事へのコメントで恐縮です。 2025年3月ぐらいから巷で問題となってる証券口座乗っ取り被害の手口について、分かりやすく簡便な安全確保の方策がないものか、ぼんやり調べてます。 手口として、一定数必ずあるだろうといわれているフィッシングサイトを見分けるのにSSLサーバ証明書が役に立たないか?と思っています。 ブラウザ機能で証明書を都度確認できるとしても、その内容を素人判断できるのか?も厳しいですよねぇ。 方法も素人には難しいかも、ですし。 証明書の発行元が信頼できそうかどうか、ランク付けして表示してくれるようなブラウザ機能とかブラウザ期の拡張ってできないですかねぇ。 GoogleなんとかやVelisinとかは青、ちょっと怪しいかもってのを黄色、過去フィッシングサイトで使われた実績のある発行元やらを赤、とか表示し、赤は問答無用で排除警告をいったん表示するとか、黄色もいったん注意警告表示を挟むとか。 返信を追加
Discussion
基本的に出回ってる情報はほぼデマなので、単に情報整理しても理解には結びつきません。
実際この記事でも「SSLサーバ証明書とは」「サーバ証明書の検証の流れ」「HTTPS通信が確立されるまで」ほぼほぼ間違いです。
まずは情報を鵜呑みにする前に、どうすればウラがとれるのかを気にした方が良いと思います。
なお、「オレオレ証明書がダメな理由」ですが、「当然」と言えるようでなければ理解したとは言えないと思います。
※証明書の役割を正しく把握していれば、オレオレ証明書があり得ないことは言うまでもないことなので
ご指摘ありがとうございます...!
おっしゃる通りネットにある情報を参考にしているので、学習本買うなどして理解を改めます。
私の言ってる「出回ってる情報」は、別にネット限定ではないですよ。書籍もほぼ信用できません。理由は簡単で、書いている人自身がウラを取っていない、理解して書いてない、伝言ゲームしている、そんなところです。
ただ、通称「暗認本」は数少ない例外で、信用して問題ないでしょう ( ただそれでも「ウラをとる」という姿勢は捨ててはいけません )
あとは、プロフェッショナルSSL/TLSも、流石に専門で扱ってるので大丈夫かとは思いますが、かなり内容が細かいので、概要を掴むのに向いているかは不明です。
古い記事へのコメントで恐縮です。
2025年3月ぐらいから巷で問題となってる証券口座乗っ取り被害の手口について、分かりやすく簡便な安全確保の方策がないものか、ぼんやり調べてます。
手口として、一定数必ずあるだろうといわれているフィッシングサイトを見分けるのにSSLサーバ証明書が役に立たないか?と思っています。
ブラウザ機能で証明書を都度確認できるとしても、その内容を素人判断できるのか?も厳しいですよねぇ。
方法も素人には難しいかも、ですし。
証明書の発行元が信頼できそうかどうか、ランク付けして表示してくれるようなブラウザ機能とかブラウザ期の拡張ってできないですかねぇ。
GoogleなんとかやVelisinとかは青、ちょっと怪しいかもってのを黄色、過去フィッシングサイトで使われた実績のある発行元やらを赤、とか表示し、赤は問答無用で排除警告をいったん表示するとか、黄色もいったん注意警告表示を挟むとか。