SSLのフィルタリング(impress.co.jp)をする製品が出るらしい。まさか暗号化をごまかしてURLフィルタリングされるのかと思ったらそうではなく、証明書の有効性を調べて切っちゃうらしい。ユーザが証明書を確認する、というのがSSLの基本だが、ユーザはそれをしなくなってしまった。

かくいう私のサイトもSSLはホストの認証には使っていない。単にセッション情報やパスワード、見ているURLやPOSTしたデータなどを暗号化して隠してくれればいいだけ、というスタンスであり、いいかげんな証明書を使っている。SSLは改竄、なりすまし、盗聴を防いでくれるが、とりあえず盗聴しか防ぐつもりがないのだ。

この製品は、よくわからないけど証明書のブラックリストを持っておくのかな？？ けっこういいかげんな証明書を使ったhttpsなサイトって多いと思うので、そいつらを全部ハネちゃうわけにはいかないのではないかと思う。