HEARTBEATS

こんにちは。CTOの馬場です。

昨日のエントリ RHEL5/CentOS5でGlobalSignのルート証明書が有効期限切れで大騒ぎ で暫定回避策として「接続先のSSL証明書を検証しないようにする」と書いたのですが、そのリスクについてもっと伝えたほうがよさそうなので追加のエントリです。
( @nekoruri さんご指摘ありがとうございます!)

いきなり結論から書きますが、 SSL証明書の警告無視はSSLの目的の1つである「通信相手の認証」を無効にするのでヤバい のです。

つまり証明書検証エラーを無視すると、通信は暗号化しているけど通信相手は誰かわからない、というトンチンカンな状況になります。
なので、トンチンカンな状況が許せる時だけにしましょう。

実はHTTPでいいんだけどなんとなく通信は暗号化しておきたいときとか、リスク覚悟で通信したいときとか...

なお、技術的な説明は以下のページが詳しいです。
こちらも @nekoruri さんご紹介ありがとうございます!