メール クライアント経由でメール サーバーに接続する場合、SSL を使用する必要があります。しかし、IT 部門が信頼するよう求めている自己署名証明書しかありません。
真のセキュリティへの影響とは?
4 に答える
1
企業の CA システム全体を破壊するようなルート キーの漏洩がないと仮定すると、この自己署名証明書の使用に固有の問題は配布だけです。通常、認証局の証明書は、サーバーへの接続が必要なコンピューターに既に存在しますが、この証明書は手動で配布する必要があります。
新しいコンピュータがサーバーへの接続を必要とし、証明書を持っていない場合、とにかく接続して証明書を受け入れるだけでは、本当のセキュリティはありません. 使用するには、コンピューターに既に存在している必要があります。
于 2012-10-25T05:02:56.993 に答える
1
他の2人が言ったように、それは基本的にあなたがあなたの会社をどれだけ信頼しているかにかかっています.なぜ彼らは自己署名のものを主張するのですか)。
しかし、Paul が例で概説したように、コンピュータに独自のルート証明書をインストールしてもらうかどうかも重要です。もしそうせず、毎回警告ボックスをクリックするように求められる場合は、率直に話して、このページへのリンクをあなたの会社の IT 部門に電子メールで送信することをお勧めします。
于 2012-10-25T05:32:08.377 に答える
0
これは、見た目よりも複雑な質問です。簡単に言えば、自己署名ルート CA の保護とクライアント マシンへのルートの展開に関するベスト プラクティスに従っている場合 (非常に重要です!)、X509 PKI で通常発生する以上の追加のリスクはありません。
より長い答えは、いつものように、「どのコーナーをカットするかによって異なります」です。リスクが高くなるシナリオは次のとおりです...
あなたの会社は、自己署名ルートを従業員のラップトップに直接インストールしていません。この見落としについて尋ねられたとき、彼らは「それは異種コンピューティング環境における本当の PITA です」と述べています。これにより (クライアントやその他の要因によって異なります)、クライアントを起動するたびに、信頼できないダイアログで [続行] をクリックすることを選択する必要があります。大したことですよね?まだ暗号化されています。ある日、あなたはマドリッドにいて、5 つ星ホテルでルーム サービスを楽しんでおり (社内の新星として、最高級の仕事を与えられます)、ラップトップを開いて仕事を片付けます...
常に VPN に接続していますが、最後にラップトップをスリープ状態にしたときにメール クライアントを開いたままにしておくと、開いたときに常に表示されるのと同じ迷惑な警告が表示されます。IT 部門からトレーニングを受けているため、ダイアログをすばやくクリックして進むことができます。悲しいことに、今回は別の証明書です。直接調べていたら (写真の記憶があり、base64 でエンコードされた公開鍵を比較するのが好き)、クリックスルーしなかったでしょうが、急いでいて、ホテル キャプチャ ポータルを実行している悪意のあるホテル マネージャーがあなたのメールを知っています。ログインとパスワード (p@ssw0rd1)。
残念ながら、他のあらゆる種類の Web サイトで p@ssw0rd1 を使用しているため、reddit、Amazon、さらには stackoverflow のアカウントでさえもすぐに侵害されていることがわかります。さらに悪いことに、上司は「あなた」からわいせつな暴言と辞任の通知を含むメールを受け取ります。すべては、何千回も前にクリックした無害なダイアログをクリックしたからです。
この (ありそうもない) シナリオは、「信頼されていない証明書」ダイアログをやみくもにクリックした場合に発生する可能性があります。ユーザーは、このようなダイアログをクリックしないように指示し、企業 CA を OS/ブラウザーの信頼されたルート リストに追加するか、信頼されたパブリック CA を使用することで、これを回避するように (できれば) トレーニングできます。
于 2012-10-25T05:23:45.493 に答える
-1
証明書を受け入れるダイアログボックスをクリックするなど、何かを行うことが期待されている場合は間違っています。
適切に仕事をしている場合は、必要なすべてのネットワーク要素 (ブラウザ、メール ユーザー エージェント、アプリケーションなど) が証明書を信頼できるように、証明書を内部的に配布する必要があります。
つまり、知っているとしたらそれは間違いです。
于 2012-10-25T05:38:48.080 に答える