アカウント名:
パスワード:
べつに乗っ取らなくても共有SSLが使える無料サーバーでフィッシングしても同じことでは?そもそもSSLなんてハンコつかなきゃ発行できないって類のものじゃないし、安いところなら年間3,000円も払えば偽名で取得できるわけで、技術的な側面を説明せず安易に「SSLなら安全」って間違った啓蒙だけをし続けてきたしっぺ返しがきてるってことじゃないですかね。
緑色という色だけではなくて、緑色ならそこに表示されている会社名なり組織名なりを確認する、というのは当然として。
EV-SSL提供する共用サーバを提供する業者とか、全然意味無いじゃん、
そんなことをしたらサーバー会社の EV SSL 証明書の信用がなくなるわけで、そんな誰得サーバーあるわけないじゃん。
……と書こうと思ったら、 #1603143 [srad.jp] の人も紹介してくれている高木浩光さんの「EV SSL を緑色だというだけで信用してはいけない実例 [takagi-hiromitsu.jp]」 (高木浩光 @ 自宅の日記) によると、 EV SSL 付きの共用サーバーなんてものが実在するんですね。何でしょうこれ。 EV SSL に恨みを持つ誰かが EV SSL を亡き者にするために EV SSL に対する誤解を広めようとして捨て身の攻撃を仕掛けているとかだったら、理解できますが。
しかし、「共用SSL」サービスにEV SSLを用いることには意味がない。意味がなく、かつ、紛らわしく誤解をする利用者もいるだろうから、やめてほしいと思う。
という高木さんの感想にまったく同感です。
高木さんは実験のために月額 1,575 円のサービスに申し込まれたみたいですが、ほかに顧客がいないことを願います。
> ほかに顧客が少なくとも47件ほど利用者がいる [google.co.jp]みたいです。有償サービスだと賠償問題にも発展しかねないしもう後には引けないのではないでしょうか。
少なくとも47件ほど利用者がいる [google.co.jp]みたいです。
情報ありがとうございます。検索結果の 47 件の中にはこの共用サーバーへのサービス申し込みのためのページ等が含まれているので、 Google で見つかる利用者の数は 47 よりは若干少ないのですが、それでも 40 以上はいそうですね。
これは……これはきっと、全部セキュリティー研究者の実験に違いありません。なーんだ、びっくりした (現実逃避)。
有償サービスだと賠償問題にも発展しかねないしもう後には引けないのではないでしょうか。
賠償問題に発展する可能性がどれだけあるかはわかりませんが、今更後には引けないという面はあるかもしれませんね。
技術的な側面を説明せず安易に「SSLなら安全」って間違った啓蒙だけをし続けてきた
ただ,これは「技術的な側面」を説明したところで
という問題があります. 後者は極めて根本的な問題で,SSL/TLS以外でも現在のところ なにも解決策は見つかってないんじゃないですかね. # 「レピュテーション」でどうにかなると思うほど楽観的じゃない…
昔はSSLでも身元確認しているので安全な時期があった。 今はそれはEV-SSL。
そんなあなたにはこちら [takagi-hiromitsu.jp]をどうぞ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
べつに乗っ取らなくても (スコア:0)
べつに乗っ取らなくても共有SSLが使える無料サーバーでフィッシングしても同じことでは?
そもそもSSLなんてハンコつかなきゃ発行できないって類のものじゃないし、安いところなら年間3,000円も払えば偽名で取得できるわけで、技術的な側面を説明せず安易に「SSLなら安全」って間違った啓蒙だけをし続けてきたしっぺ返しがきてるってことじゃないですかね。
Re:べつに乗っ取らなくても (スコア:2, すばらしい洞察)
EV-SSLも、緑色だから安全!、ってこう・・・、
EV-SSL提供する共用サーバを提供する業者とか、全然意味無いじゃん、
なんかこう、説明が面倒だからって肝心なとこ省かないでほしいもんです。
EV SSL 付きの共用サーバー? (スコア:3, 興味深い)
緑色という色だけではなくて、緑色ならそこに表示されている会社名なり組織名なりを確認する、というのは当然として。
そんなことをしたらサーバー会社の EV SSL 証明書の信用がなくなるわけで、そんな誰得サーバーあるわけないじゃん。
……と書こうと思ったら、 #1603143 [srad.jp] の人も紹介してくれている高木浩光さんの「EV SSL を緑色だというだけで信用してはいけない実例 [takagi-hiromitsu.jp]」 (高木浩光 @ 自宅の日記) によると、 EV SSL 付きの共用サーバーなんてものが実在するんですね。何でしょうこれ。 EV SSL に恨みを持つ誰かが EV SSL を亡き者にするために EV SSL に対する誤解を広めようとして捨て身の攻撃を仕掛けているとかだったら、理解できますが。
という高木さんの感想にまったく同感です。
高木さんは実験のために月額 1,575 円のサービスに申し込まれたみたいですが、ほかに顧客がいないことを願います。
Re: (スコア:0)
> ほかに顧客が
少なくとも47件ほど利用者がいる [google.co.jp]みたいです。有償サービスだと賠償問題にも発展しかねないしもう後には引けないのではないでしょうか。
Re:EV SSL 付きの共用サーバー? (スコア:2)
情報ありがとうございます。検索結果の 47 件の中にはこの共用サーバーへのサービス申し込みのためのページ等が含まれているので、 Google で見つかる利用者の数は 47 よりは若干少ないのですが、それでも 40 以上はいそうですね。
これは……これはきっと、全部セキュリティー研究者の実験に違いありません。なーんだ、びっくりした (現実逃避)。
賠償問題に発展する可能性がどれだけあるかはわかりませんが、今更後には引けないという面はあるかもしれませんね。
Re: (スコア:0)
ただ,これは「技術的な側面」を説明したところで
という問題があります.
後者は極めて根本的な問題で,SSL/TLS以外でも現在のところ なにも解決策は見つかってないんじゃないですかね.
# 「レピュテーション」でどうにかなると思うほど楽観的じゃない…
Re: (スコア:0)
今はそれはEV-SSL。
SSL証明書なんてただの会員証なんだから、SSL屋ではなく目的毎にちゃんと分類して発行/確認できるようになればいいんじゃないんですかね。
たとえば親会社が子会社のSSL証明書発行して身元保証するとか、JASRAC等々業界団体やなんとか協会が所属してるよ証明にSSL証明書発行するとか。
Re:べつに乗っ取らなくても (スコア:1, 参考になる)
そんなあなたにはこちら [takagi-hiromitsu.jp]をどうぞ。
Re: (スコア:0)
その企業がサーバ運営してるのは間違いないんだからそれでいいんじゃないの?
運営者以外の何かを保証しているとでも思ってた?
Re: (スコア:0)
その親会社なり業界団体が発行した証明書は信用できるんですかね。
Re: (スコア:0)
何も素性がわからないペーパーカンパニーよりは身元の証明になるんじゃない?
発行管理は今までどおりのところに任せてもいいと思うけど、中間証明書に所属団体はさんでおけば、銀行なんかの業種を装うとか、そういうことはできなくなるんじゃない?
届け出、許可が必要な業種で、違反したら停止とかやりやすそうだし。
類似名称にご注意って事象等々は減る気がした。見せ方はそれなりに工夫する必要があるかも。