正しいルート証明書をローカルに保持していたとしても、それでも盗聴や改竄の危険は無くならないな…。以下の登場人物を考える時、
- サイト利用者。
- 攻撃者。
- サイト運営者。
- 認証局。
この場合に攻撃者がサイト運営者を偽装して認証局に登録すれば、パケット盗聴と改竄でサイト利用者から ID やパスワードを盗む事が可能だな…。それを防ぐには認証局がそういった登録を受け付けないのが重要だな。仮に認証局がそんな偽装登録を受け付けているとしたら、ユーザが公開鍵証明書をしっかりと読み込んで判断する…、ぐらいしか対処方法が無いな…。
