オレオレ証明書クイズがらみ
を読んで、やっぱりこれが自分の使う言葉だなと感じた。高木さんの言葉は切れ味が鋭すぎて問題を理解させるための材料には使いにくい。
いや実際にこの結城さんの言葉を使ったのです。過去にね。で、そのサイトは今第三者認証を得た https をユーザーに提供しています。
そもそも SSL って何?ベリサインて何?という人に対しては
- 通信の暗号化
- 接続先サイトの真正性の証明
の2つをちゃんと分けて、なおかつこれは別の次元の問題だという説明をしなければいけない。しかし高木さんの書き方は「証明書がなきゃ意味ないじゃん」という前提(要するにセキュリティを考える人間にとっての常識)に頼っている部分があるので、前提を分かっていない人に対して何が問題なのか理解させにくい。
「設問がよくない」のは SSL という全体像を捉えて、正しい SSL を一発で解答したい場合に限って正しい指摘だが、設問がよくないかどうかも分からない人にとっては、片方だけではダメなことがはっきり分かる形にするために問題文もあえて分けてやった方がよい。
ただ結城さんの問題は (2) がいきなり高度かなという気もする。ここも YES/NO で答えられる形で「間違いなく自分の意図するサーバに接続しているかどうか」を問うた方がよかったように思う。そうしておくと SSL に限らず普段見ているサイトが果たして本物かどうかを考える契機にもできるから。