期限の切れた証明書について

＞信頼された証明機関によって認証されているが、有効期限が切れているサイトは 脆弱性があるサイトであると言えるのでしょうか？ 簡単に言えばメンテがされていないサイトと言う事です。 脆弱性があるサイトかは通常では解析できません。 SSLのサーバ証明書を更新する事を怠る様なサイトは信用するに価しないと言うのは言いすぎですか？ オレオレ証明書もアクセスするユーザーに対して証明書を購入する予算がないからオレオレでいくけれど信用してくれる方だけ利用してくださいと断りがあるなら個人的には問題ないと思います。 問題はオレオレ証明の癖にあたかも正規な処置のように認証させようとする姿勢ですね。 銀行系のサイトがこの形態だとオンラインバンキングなど危なくて出来ないよね。 最初の一歩から自分だけに都合の良い事を正当化する姿勢ですからね。 それは脆弱性とは又違う問題だと思います。 ちゅうかそれ以前が正しいのか？。

ANo3 ency です。 > しかしながら、逆に言えば去年は > 暗号アルゴリズムはSHA256を採用しているので今年はお金は払わなくて良いという > 判断はサーバ管理者としては脆弱性のみに焦点を絞るのならアリだと思って良いのでしょうか？ う～ん。。。 サーバ管理者として、私が指摘した脆弱性のみに焦点を絞るのならアリなのかもしれませんけど…そのようなサーバを私は使用したいとは思いませんね。 より安全な暗号化アルゴリズムを使用しているから大丈夫だろう…というよりもすでに周知されたアルゴリズムであれば結果は同じことだと思うからです。 # 少なくとも、SSL を使用しているサーバ管理者であればそう考えるべきでしょうね。 SSL を使用すると決めた時点で、証明書発行のコストは避けられないものです。 というよりも、定期的にそのようなコストがかかることを見越して SSL を使用することを決定しているはずです。 あとは、それを必要経費としてサーバ管理者の人が上司を説得できるかどうか…結局そこにかかってくるんでしょうけどね。 というのが、あくまで私個人の意見です。 えらそうなことを書いてきましたが、サーバ管理者でもない私(！)がどんなことを言ったところであまり説得力がないかもしれません。 というわけで、参考意見とさせてもらいました。

ちょっと割り込み気味ですみません。。。 まず、暗号は莫大な計算時間と計算能力をつかえば、いずれ解読されるものだというのは、おわかりだと思います。 現在使用されている暗号アルゴリズムであれば、公開鍵から秘密鍵を推定することは、確率的に事実上不可能と言われていますが、それも「現在」という制約がついた話です。 今後マシンスペックがあがっていけば、推定可能になるかもしれません。 公開鍵から秘密鍵が推定できてしまえば、そのサーバ証明書を発行しているサーバとの間の通信は、ANo1 さんが書いている 3つの危険性のすべてにさらされることになります。 このような状況を避けるためにも、サーバ証明書には有効期限を設定しておき、常に新しい暗号化アルゴリズムを使用した公開鍵・秘密鍵を使用できるようにしているんです。 言い換えれば、暗号解読の時間を与えないために、サーバ証明書に有効期限を設定しておいて、期限満了でサーバの公開鍵・秘密鍵を更新させるように強制することで、ANo1 さんが書いている 3つの危険性を軽減するようにしているんです。 このようなことを考えると、たとえば 1ヶ月前期限が切れたサーバ証明書であれば、まぁ、良いかなぁ～と思えなくもないですが、たとえば 10年前に期限が切れたサーバ証明書は、とても信用できないことがわかると思います。 ご参考まで。。。

SSL証明書の有効期限が切れている場合、 ドメインの契約が切れてたあとに違う組織がドメインを取得し、そのドメインの旧所有者のなまえをかたってWWWサイトを運用している可能性を排除できない、のでは？

ご質問にある「脆弱性」の有無と、信頼されて無い証明機関による証明書とは、直接的な関係はありません。 ＳＳＬでは、主に以下のような危険性を軽減しています。 　・サーバ認証により、Webサーバのなりすましの防止 　・通信データの暗号化により、盗聴された際の情報の秘匿 　・通信内容の完全性チェックにより、通信データの改ざんの検知 　これらと、世間一般に言われている「サイトの脆弱性」とは、分けて考えられたほうが良いと思います。