[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:43469] Re: Mew 3.3 で Gmail



やすいです.

Mew で SSL を使っていないので,名前から推測しますが….

MATSUDA Yoh-ichi / 松田陽一 wrote:
>>また、ca-certificatesパッケージが入っている状態で、次のようにしても
>>うまくいくかもしれません。
>>
>>  (setq mew-ssl-cert-directory "/etc/ssl/certs")
>>  (setq mew-ssl-verify-level 2) ;; verify certificate
> 
> 
> これは何かメリットがあるのでしょうか?

逆にここが一番重要(かもしれない)ところですよね.
通信先の証明書がインストールされているルート認証局によって署名
されているかどうかの確認をします.

(setq mew-ssl-verify-level 0) は,ブラウザでいうところの
「foobar が信頼できるサイトではない」というダイアログで無条件に
「この証明書を受け入れて接続する」を設定しているのと同じなので,
正しい通信相手と通信を行っている保証ができなくなります.つまり,
いわゆるオレオレ証明書を見抜けなくなります.
# 暗号化はしていますが,その暗号化の鍵が正しい相手のものではない
# 可能性があります.

高木先生の日記が非常に参考になります(長い).
http://takagi-hiromitsu.jp/diary/20050111.html#p01

oresign.jp に少しまとまってるかな.
http://www.oresign.jp/

> ぃゃすいません、 ssl って暗号化するんだよな、ってな程度の
> 知識しかなくて。^^;

ということで,ある程度きちんとした知識を持つことになったと思います.
(setq mew-ssl-verify-level 0) という設定はあまり好ましくない設定で,
安全であることを確認するためには証明書の verify が必要であることを
広めてください.:)
-- 
Taku YASUI <tach@debian.or.jp>