- ベストアンサー
SSLの信頼性について
ネット販売の代金決済にSSLによる暗号化通信があります。以前に知人がクレジットカードによるSSL決済でURLのプロトコルhttpsの確認、右下タスクトレイ上に鍵マーク確認、カギマークから発行元証明書の確認もしたようです。しかし結果して悪用されたそうです。その話を聞いて私はネット上のSSLを信頼していません。下記についてご助言を頂きたいと思います。 (1)ブラウザで公開鍵で暗号化し、送信したデータが 通信経路上で秘密鍵が盗取されてデータが復元さ れ、情報盗取されることは可能でしょうか。 (2)証明書の発行元の偽装は簡単に行えるのでしょう か。 (3)発行元が本人(法人)であることは何で確認すれば 安全でしょうか。以上お願いいたします。
- pumpkin3
- お礼率78% (141/180)
- Windows XP
- 回答数4
- ありがとう数5
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
すでに投稿されている方々が書かれている通り、悪用についてはSSLとは無関係の部分で発生しているでしょう。 そうは言っても気になると思いますので、一応質問に回答しておきます。 (1)SSLの通信(=公開鍵暗号方式を利用したすべての通信)では、秘密鍵はネットワーク上で交換されません。 よって、秘密鍵の保持者がそれを漏洩しない限り、盗聴は事実上不可能です。 (2)証明書の発行元の偽造はほぼ不可能です。 証明書の中に、自身の記述内容をチェックするための仕組みが組み込まれています。 (3)証明書の発行元は、証明書自体を参照すればわかります(IEなら鍵マークをダブルクリック)。 仮に証明書の発行元を偽造しても、その発行元のみが持つ秘密鍵に対応する公開鍵をブラウザが 持っていないため、ブラウザで警告(”信頼できない発行元により署名されています....”)が出ます。
その他の回答 (3)
- hoihence
- ベストアンサー率20% (438/2093)
こんにちは。 (2)、(3)については専門家さんの言う通りなのですが、(1)に関しては、LAN内からの利用などではSSLであってもダメな場合があります。ある特定のツールを使うと可能のようです。あるいは、rootkit系の物やキーロガーなどが仕込まれていたとか。もしかしたら、ファーミングとかにやられたかもしれないです。
お礼
ありがとうございます。意外とSSLだから安心と思ってネット販売を安易に利用している向きがありますがツールの使用で盗取の危険性が大ということがわかりました。SSLのネット決済をしないことにします。
- ZENO888
- ベストアンサー率49% (8944/18242)
直接の回答ではないけど・・・・ SSLはあくまで通信時の暗号化技術であって、昨今多発している個人情報の漏洩は、相手側のサーバー等の顧客情報や取引情報自体が直接漏れてるので、SSLとは関係在りません。 フィッシングのようなダミーサイトへ誘導しての情報の引き出しも在りますが、これもSSLとは直接関係ないですし・・・・ 生で通信するよりは、SSL使った方が安全ではありますが、通信経路上で漏れるより、その前後で漏れてるのでどーしようもないです。 まぁ、個人的な意見としては、クレジットカードでの決算ではなく、代引きや振込を使う方が安全です。
お礼
SSLの管理運用には人が介在します。SSL管理運用システムとしてやらないとSSL単体システムが完璧でも悪用はなくなりません。ネット上ではいまだに馬鹿のひとつ覚えのようにカード番号入力決済が行われていることは残念です。 もっと安全性を重視すべきと思います。今後もカードでなく安全第一でいきたいと思います。
- blacklabel
- ベストアンサー率12% (124/1033)
SSLとは関係ないところで悪用されたのでは。 スパイウェアのチェックは完璧にされてますか。 疑う部分を間違えてます。
お礼
SSLシステムそのものには信頼性がある事は理解できました。しかしシステムの運用管理には人が介在します。頭かくして(SSL)尻かくざず(人)では十分とは思えません。 SSL管理運用システムとしてやらなければ悪用は無くなりません。SSL管理システムは万全ではなくリスクがあるという 前提での利用にとどめたほうが良いようですね。