パスワードを忘れた? アカウント作成
226837 journal

beroの日記: 実在証明つきSSL(企業認証SSL)は無意味じゃね? 16

日記 by bero

まとめ: 一般利用者が実在証明の見方を知らない現状では、実在証明つきSSLは無意味。

「VeriSignシール」という幻想(高木浩光@自宅の日記)
VeriSignのセキュアシールを間違って使ってるサイトがある、という話なのだが、
開発会社ですらこうなのだから、まして一般利用者が理解してるかどうか。

あの「セキュアシール(サイトシールと呼ぶ業者も)」(VerisignとかGlobalSignのロゴ画像)がただの飾りではなく、クリックして確認するものである、ということを(自称詳しい人も含めて)自分の周りでは誰も知らなかったことに愕然とした。

webの安全啓蒙資料の類でも、「クレジットカードや個人情報を入力するときは鍵マークを確認しましょう」くらいは説明していても、セキュアシールに言及しているものは(SSL業者自身の広報資料を除くと)少ないと思う。

シールをクリックして実在証明を確認するということを一般利用者が理解していないなら、一般利用者にとって実在証明のありなしは全く違いはない。

前述の高木氏のサイトでは

ドメイン名が広く知られている場合には、実在証明はなくてもよいと思う。また、実在証明を本当に必要とする場面として、マイナーな中小企業が運営するネットショップのケースがあると思う。

とあるが、
以前某「マイナーな中小企業が運営するネットショップ」で高価な実在証明つきSSLから安価な実在証明なしのSSLに(もちろんいざとなったら切り替えられる体制と了解の上で)変えてみたのだが、アクセス数も成約数も全く変わらなかったので、そのまま使っている。
(ついでに言えば、この時高価な有名SSLブランド業者から安価なSSL業者に変えたのだが、その影響も無かった。)

コストの違いほどの意味はない全く無意味だと個人的には思うし、聞かれたらそう答える。

(注: EV-SSLはまた別の話)

まとめ: 一般利用者が実在証明の見方を知らない現状では、実在証明つきSSLは無意味。

追記:
実在証明といえば、
SSL業者なんかに頼らなくても、日本においてはJPRS(JPNIC?)が頑張ってるのでco.jp(企業)やor.jp(社団法人等)は実在証明されたドメインであり、go.jpは政府、など信頼性が一目瞭然なのだが、このことをどれだけの人が知ってるだろうか?
(comやただのjpドメインは実在証明なしで誰でも取得できるばかりか、たいていの登録業者で身元隠しサービスまである)

銀行がco.jpではなくjpドメイン使ったり、政府がgo.jpではなく「ハトミミ.com」なんてドメインを使おうとしたり(仮に「ハトミミ.go.jp」なら身元不明の第三者にとられることは無かった)、するところを見るといまいち知られてなさそうだが、
ドメインの信頼性をもっと活用する流れになればいいのにと個人的には思う。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 「一般利用者が実在証明の見方を知らない現状では、実在証明つきSSLは無意味」というのは間違いです。

    高木さんの論理は「ドメイン名が広く知られている場合」という話ですので、ドメイン名が信用できるかどうか*判断できる*という前提に立っている話です。しかしドメイン名という文字列は一般的に信用できる物では有りません。ですから、「実在証明はなくてもよいと思う」というのも当然一般化できる話では有りません。

    そもそも証明書はネットを介した通信相手は何処の誰か判らないという事を前提としており、その状況下で通信相手が自分の目的とした通信相手かどうかを判断するための手段です。
    ですから、ネットを介した通信相手が「ドメイン名」であってその運営者が何処の誰かは知らなくてよい、つまり「ドメイン名」の正当性だけが証明されている状況下においては実在認証は必要ではないでしょう。たとえばこのslashdot.jp、運営者がどこの誰かは知らなくとも、通信相手がslashdot.jpというサービスである事が確実であり、そしてそのユーザ認証情報が第三者に漏洩しないという事が保証されていれば問題ない訳ですから、こういう場合はドメイン認証の証明書で全く問題は無いと言えます。

    しかし例えば通販サイトだったらどうでしょう。takashimaya.comというドメイン名が百貨店の高島屋ではないと、ドメイン認証の証明書でどうやって確認できますか? 「takashimaya.comが百貨店の高島屋ではない」と知っている人しか、それは判らないのです。

    属性型JPドメインは確かにその他のドメイン名よりは信用できる情報が公開されているでしょう。しかしそれもWhois情報を見ないとドメイン登録者は判りませんし、それはブラウザ上で証明書の内容を確認するよりもスキルを要します。更に言えばWhois情報で公開されているのはドメイン名の「登録者情報」であり、実在証明が示す「Webサイトの運営主体」では有りません。Whois情報は必ずしも信頼できる情報とは言えませんが、仮にそれが信頼できる情報だとしても、実在認証証明書が示す情報とWhois情報とは違う物であり代替できる物とは言えないのです。

    サイト運営者の立場から見ても、属性型JPドメインは一組織一ドメインの原則が有り、サービス別にドメイン名を用意する事は不可能です。そういう用途を考えるなら、属性型JPドメインを使えば良いという事にはなりません。

    「一般利用者が実在証明の見方を知らない現状では、実在証明つきSSLは無意味」という論理は、必要性と十分性を混同した論理です。「一般利用者が○○を知らない現状では、○○は無意味」を別の言葉に置き換えてみれば、その論理の可笑しさが判るはずです。
    「一般利用者が法律を知らない現状では、法律は無意味」
    「一般利用者が登記簿謄本の見方を知らない現状では、登記簿謄本は無意味」
    「一般利用者が暗号を知らない現状では、暗号は無意味」などなど

    > ドメインの信頼性をもっと活用する流れになればいいのにと個人的には思う。

    もし実在認証証明書ど同様の信頼性をドメイン名に求めるなら、ドメイン名の登録や更新のたびに組織の実在性と本人性の認証をする必要が有りますし、殆どの場合は任意団体や個人での取得はほぼ不可能という事になります。それがインターネットの発展に寄与するとは思えません。

    • 属性ドメインの話は本筋ではないので割愛します。

      >「takashimaya.comが百貨店の高島屋ではない」と知っている人しか、それは判らないのです。

      というのと、

      「サイトシールをクリックして実在証明を確認すること」を知っている人しか、それは判らないのです

      というのとどう違いますか?

      また逆にお聞きしますが、
      takashimaya.co.jpというドメイン名が百貨店の高島屋であると、実在証明でどうやって確認できますか?
      購入してSSLページに行ってサイトシール実在証明を見るまで確認できませんか?
      (見あたらないけど)実在証明があったとしたら、同名の別会社ではなく「百貨店の高島屋」であると確認できますか?
      確認できなければ利用をやめますか?

      暗号の有無のような明白な違いと異なり、実在証明はドメインが信用できるか利用者が主観的に判断する材料の一つに過ぎません。
      「ドメイン名が広く知られている」と利用者が判断するなら不要だろうし、利用者が実在証明より価格比較サイト等の評価を重視するなら、これまた不要(とは言い切れないまでも優先度は低下)

      >「一般利用者が○○を知らない現状では、○○は無意味」

      適切でない例えですね

      ---
      「これだけの人(n%)が実在証明をクリックして確認してるので、実在証明は有用」というデータがあったら教えてください。

      親コメント
      • > >「takashimaya.comが百貨店の高島屋ではない」と知っている人しか、それは判らないのです。
        > というのと、
        > 「サイトシールをクリックして実在証明を確認すること」を知っている人しか、それは判らないのです
        > というのとどう違いますか?

        全く違います。

        前者はtakashimaya.comという特定のドメイン名に対する知識であり、後者はスキルです。ですから前者はtakashimaya.comという特定のドメイン以外には全く関係が無く応用できない物ですが、後者は安全にインターネットを利用するための情報リテラシとして、takashimaya.com以外のドメインにも一般に応用できる物です。
        ある問題に直面した時に、その正解を知っているという事と、正解を導くための方法を知っているという事は全く違いますよね。

        ちなみに正しくは「サイトシールをクリックして実在証明を確認すること」ではなく、「ブラウザ上で証明書の内容を確認する事」です。偽造が可能なサイトシールは証明書の代替とはなりません。

        > また逆にお聞きしますが、
        > takashimaya.co.jpというドメイン名が百貨店の高島屋であると、実在証明でどうやって確認できますか?
        > 購入してSSLページに行ってサイトシール実在証明を見るまで確認できませんか?
        > (見あたらないけど)実在証明があったとしたら、同名の別会社ではなく「百貨店の高島屋」であると確認できますか?
        > 確認できなければ利用をやめますか?

        その通りです。
        相手がドメインスクワッティングをした詐欺サイトである可能性が払拭できなくても構わない、それでも取引したいという事ならそれを止めはしませんが。

        > 暗号の有無のような明白な違いと異なり、実在証明はドメインが信用できるか利用者が主観的に判断する材料の一つに過ぎません。

        その通りです。
        しかし暗号による漏洩防止は、同時に通信相手の成りすましを防止しない限り全く無意味です。

        > 「ドメイン名が広く知られている」と利用者が判断するなら不要だろうし、利用者が実在証明より価格比較サイト等の評価を重視するなら、これまた不要(とは言い切れないまでも優先度は低下)

        ですからその前提が間違っているのです。
        証明書は通信相手の素性を確信できない状況下でそれを確信するための物です。

        もちろん世間の評判も判断材料の一つです。特にサービスの内容に関する評価については証明書で示される物では有りません。
        しかしその逆に、証明書が発行されるために必要な認証手続きで確認される内容については、世間の評判では示される物では有りません。

        世間の評判と実在証明はその守備範囲が異なりますので、どちらか片方が有れば良いという物ではなく、通信内容の重要さなどに応じて補完する関係なのです。

        > >「一般利用者が○○を知らない現状では、○○は無意味」
        > 適切でない例えですね

        適切でないのは例えではなくその論理です。

        > 「これだけの人(n%)が実在証明をクリックして確認してるので、実在証明は有用」というデータがあったら教えてください。

        その様なデータは知りませんが、そもそも「クリックして確認してる」という事を「実在証明は有用」という根拠とする論理が間違っています。

        親コメント
        • > takashimaya.co.jpというドメイン名が百貨店の高島屋であると、実在証明でどうやって確認できますか?

          親コメント
          • > takashimaya.co.jpというドメイン名が百貨店の高島屋であると、実在証明でどうやって確認できますか?

            CN = www.takashimaya.co.jp
            OU = sys1
            O = Takashimaya co., Ltd.
            L = Osaka
            S = Osaka
            C = JP

            親コメント
            • しつこいですが同名の別会社ではなく「百貨店の高島屋」であると確認できますか?
              別の手段で「百貨店の高島屋」の登記地を知っておく必要があるし、日本の現行法では同一市内に同名会社が存在しえます

              それに、認証局ごとの証明方針を知っておく必要があるのでは?
              証明書のO,L,S,Cだけで信頼できる実在証明であると判断できるなら、新たにEVSSLなんて決める必要ないでしょう。

              親コメント
              • > しつこいですが同名の別会社ではなく「百貨店の高島屋」であると確認できますか?
                > 別の手段で「百貨店の高島屋」の登記地を知っておく必要があるし、日本の現行法では同一市内に同名会社が存在しえます

                その通りです。

                しかし通信相手が何処の誰かが確実である事を示す事が信用の基本である事には変わりませんし、その内容を見てもまだ疑念が晴れないなら取引を中断するなり更に調べてみるなりするという事をすれば良いのです。また類似商号の問題はそれで「百貨店の高島屋」と酷似した紛らわしい商売をするのは、恐らく不正競争防止法か何かに抵触する犯罪でしょう。相手が何処の誰かが明確ならばそのような事件は生じにくいですし、また生じてたとしても相手が何処の誰か判らない状態に比べれば解決は比較的容易です。

                何れにしてもこれらは「百貨店の高島屋」の登記地を知っているという知識の話ではなく、安全に取引をするためにはどうすれば良いかというスキルの話です。実社会での取引と全く同じ話であって実在認証に起因する問題では有りませんし、またドメイン認証では更に問題を大きくする事は有っても問題を小さくする事は有り得ません。

                > それに、認証局ごとの証明方針を知っておく必要があるのでは?

                それも知識の問題ではなくスキルの問題です。

                認証局がどのような基準で証明書を発行するのか、そのために認証局はどのような運営をしているのかという事については、証明書ポリシー(CP)や認証局運用規程(CPS)という文書で公開する事になっています。それらを公開している場所は証明書に記載されていますので誰でもそれを閲覧し知る事ができるようになっています。ちなみに高島屋はSECOM Passport for web CA発行の証明書を使っており、 https://repo1.secomtrust.net/spcpp/pfw/pfwca/ [secomtrust.net] がそれに当たります。

                もっともこの内容を一般の人に全て理解せよというのは無理な話です。しかし幸いな事に「信頼できる認証局」からパスが通った認証局ならば、実在認証の証明書には全て組織名や所在地が記載されています。逆に(少なくとも私が知っている限り)ドメイン認証の証明書には組織名や所在地の情報は記載されていないはずです。ですから組織名や所在地の情報が無ければ、ドメイン認証の証明書であって自分が知っているドメイン名と確信できなければ怪しいと考えて問題ないでしょう。

                > 証明書のO,L,S,Cだけで信頼できる実在証明であると判断できるなら、新たにEVSSLなんて決める必要ないでしょう。

                いいえ、それは違います。

                元々SSLにはドメイン認証というような物は存在せず、全ての証明書は実在認証でした。そこに実在を確認しないで機械的に証明書を発行する認証局が登場したために、実在認証とドメイン認証が一見して区別できないという問題からEV-SSLが生まれたのです。実在認証の信頼性が否定されているのでは有りません。

                もし「信頼できる認証局」が発行した物でありながら、ドメイン認証の証明書に組織名や所在地が記載されている証明書が有れば教えて下さい。その認証局は信頼度が低いと広めようと思いますので。

                親コメント
              • もともと実在証明だけの時代から信頼性があり、ドメイン認証の出現で区別できなくなったというだけなら
                ドメイン認証を区別(視覚化)するだけでいいと思うのですが
                わざわざ第三のEV-SSLを定めてそれのみを区別するようにしたのは何故でしょう?
                ただの便乗ボッタクリビジネス?

                親コメント
              • 体調が悪く臥せっておりました。返事が遅くなり済みません。

                > もともと実在証明だけの時代から信頼性があり、ドメイン認証の出現で区別できなくなったというだけなら
                > ドメイン認証を区別(視覚化)するだけでいいと思うのですが

                ええ、全くその通りです。

                理想的にはEV-SSLのように、EV/OV(組織認証=実在認証)/DV(ドメイン認証)の種別や証明書の発行元/発行先について、証明書の詳細を新しく表示しなくとも自動的に表示できるようにすべきと思います。
                標準機能では無理ですが、ブラウザの拡張機能などを使ってこれが実現できれば、ドメイン認証の証明書をフィッシング詐欺などに悪用されても被害を未然に防ぐ事ができるように思います。

                > わざわざ第三のEV-SSLを定めてそれのみを区別するようにしたのは何故でしょう?
                > ただの便乗ボッタクリビジネス?

                私が聞いた話では、EV-SSLを新たに作って便乗ボッタクリビジネスを始めるためでは有りません。

                まずブラウザ上でOV/EVの区別ができるようにすべきという話がきっかけとなり、それを実施するに際して技術的に明確な基準を定める必要性や、認証局ごとに決められている既存の証明書に関する認証基準やそれに基づいたビジネスへの影響などが議論された結果、認証局に依らず統一された認証基準(EV)が必要という結論に達したというところです。

                親コメント
  • by shibuya (17159) on 2010年06月07日 21時53分 (#1776206) 日記
    Active Domain List in Japanの一覧リスト(たかだか1000程度)が冊子化されて掲載されていた頃
    (当時は常時IP接続するということは企業は金と人を学術研究機関は技術を出すことが要求されていたからUUCPで我慢していた
    そのUUCP接続もコネや人脈抜きではつないでくれる相手が求まらないというのもあったが)

    JNIC(JPNICの前身; 当時はWIDEの事務方が兼務か)に"FOOBAR.CO.JP"を改めて申請してIP接続する頃にかけての時期だから
    15年以上前かな。
    IIJほかがISPとしてビジネスを開始した頃は64Kbpsの符号品目の専用線で接続を申請するISPあてに提出添付する書類に
    法人の登記簿抄本とかが必要とされていた。
    実に煩瑣で役所流と毒づいていたが今からみれば電気通信業者は監督官庁である郵政省(当時)に実在の証明を担保する
    ように求められてその役所流の安全装置が15年という長い目でみれば ".JP"ドメインは世界一安全と謳い上げるほどの
    成果ではあったんだよな。(UTFノーテーションのものまで含めてかそういえるかどうか自分としては判断留保)

    つらつらと昔話の回想ですみません
    • by bero (5057) on 2010年06月07日 22時32分 (#1776241) 日記

      そこまで遡らなくても、ほんの数年前まではco.jp等の取得には法人登記簿とかが必要でしたね。
      今は法人登記簿自体がwebで取得できるようになったからか、提出は不要になりましたが。

      親コメント
  • by Anonymous Coward on 2010年06月07日 22時52分 (#1776254)
    今さら後には引けないんでしょう。EV SSLに移行すればよかっただろうにEV SSLではよりぼったくる道を選んだみたいだし。
    • by Anonymous Coward

      ぼったくっても良いんですよ、その効能を得られるよう手取り足取りとことんレクチャーしてくれるなら。
      現実はただのお守りくらいにしか思われてないことが一番、というより唯一の問題です。
      売ってる連中自身がお守りか壷の一種くらいにしか思ってないのかもしれませんが。

  • http://b.hatena.ne.jp/HiromitsuTakagi/20100621#bookmark-22494313 [hatena.ne.jp]
    セキュリティ, SSL, EV SSL, PKI, 後で吊るす コメント欄、nisiguti って人、前にも変なこと書いてたな。 2010/06/21

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...