古いネタなんですが・・・私なりの解釈を(間違ってる箇所、つっこみ大歓迎)。
去年の今頃、高木さんの日記を拝読し、難しいけど何となく理解(w;)したつもりになれたので、自分なりにまとめ。
何故、今更こんな事を書くのか?ちょっと身近でオレオレ認証局を使ってる例があったので、突っ込みの意味をこめてって感じです。
公開鍵を使って暗号化。秘密鍵を使って復号化。ただそれだけ。
で、本題(オレオレ認証書)
1.公開鍵Aと秘密鍵Aを生成する。
2.クライアントとサーバの通信を中間点で傍受。
3.サーバが発行した公開鍵を、公開鍵Aに差し替える。
4.クライアントから送られたデータを、暗号鍵Aで復号化。
本来、これを防ぐ為にルート認証局が存在する。
しかし、オレオレ認証局を使う場合、折角表示されている「認証書が信頼できない!」旨の警告メッセージを、無視する運用をクライアント利用者に強制する事になる。
これでは、上記例で言う所の、傍受者が発行した公開鍵なのか、サーバが発行した公開鍵なのか、クライアント側では見分けがつかない。
故に、オレオレ認証書はイケてないと・・・。
