パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SSL証明書を使う詐欺サイトが急増中」記事へのコメント

  • by Anonymous Coward on 2009年07月10日 14時29分 (#1603023)

    べつに乗っ取らなくても共有SSLが使える無料サーバーでフィッシングしても同じことでは?
    そもそもSSLなんてハンコつかなきゃ発行できないって類のものじゃないし、安いところなら年間3,000円も払えば偽名で取得できるわけで、技術的な側面を説明せず安易に「SSLなら安全」って間違った啓蒙だけをし続けてきたしっぺ返しがきてるってことじゃないですかね。

    • by makoto_h (976) on 2009年07月10日 14時39分 (#1603030)
      SSLで暗号化してるから大丈夫って説明はなんかこう・・・・ですよねぇ。

      EV-SSLも、緑色だから安全!、ってこう・・・、
      EV-SSL提供する共用サーバを提供する業者とか、全然意味無いじゃん、

      なんかこう、説明が面倒だからって肝心なとこ省かないでほしいもんです。
      親コメント
      • by fcp (32783) on 2009年07月11日 11時38分 (#1603385) ホームページ 日記

        緑色という色だけではなくて、緑色ならそこに表示されている会社名なり組織名なりを確認する、というのは当然として。

        EV-SSL提供する共用サーバを提供する業者とか、全然意味無いじゃん、

        そんなことをしたらサーバー会社の EV SSL 証明書の信用がなくなるわけで、そんな誰得サーバーあるわけないじゃん。

        ……と書こうと思ったら、 #1603143 [srad.jp] の人も紹介してくれている高木浩光さんの「EV SSL を緑色だというだけで信用してはいけない実例 [takagi-hiromitsu.jp]」 (高木浩光 @ 自宅の日記) によると、 EV SSL 付きの共用サーバーなんてものが実在するんですね。何でしょうこれ。 EV SSL に恨みを持つ誰かが EV SSL を亡き者にするために EV SSL に対する誤解を広めようとして捨て身の攻撃を仕掛けているとかだったら、理解できますが。

        しかし、「共用SSL」サービスにEV SSLを用いることには意味がない。意味がなく、かつ、紛らわしく誤解をする利用者もいるだろうから、やめてほしいと思う。

        という高木さんの感想にまったく同感です。

        高木さんは実験のために月額 1,575 円のサービスに申し込まれたみたいですが、ほかに顧客がいないことを願います。

        親コメント
        • by Anonymous Coward

          > ほかに顧客が
          少なくとも47件ほど利用者がいる [google.co.jp]みたいです。有償サービスだと賠償問題にも発展しかねないしもう後には引けないのではないでしょうか。

          • 少なくとも47件ほど利用者がいる [google.co.jp]みたいです。

            情報ありがとうございます。検索結果の 47 件の中にはこの共用サーバーへのサービス申し込みのためのページ等が含まれているので、 Google で見つかる利用者の数は 47 よりは若干少ないのですが、それでも 40 以上はいそうですね。

            これは……これはきっと、全部セキュリティー研究者の実験に違いありません。なーんだ、びっくりした (現実逃避)。

            有償サービスだと賠償問題にも発展しかねないしもう後には引けないのではないでしょうか。

            賠償問題に発展する可能性がどれだけあるかはわかりませんが、今更後には引けないという面はあるかもしれませんね。

            親コメント
    • by Anonymous Coward

      技術的な側面を説明せず安易に「SSLなら安全」って間違った啓蒙だけをし続けてきた

      ただ,これは「技術的な側面」を説明したところで

      1. 単純に理解が難しい(暗号とはなんぞや,なにが担保されているのかなど)
      2. そもそも,「(心中で思っている)お目当てのサイトであること」を確認する方法とは, SSL自体なんの関係もない

      という問題があります.

      後者は極めて根本的な問題で,SSL/TLS以外でも現在のところ なにも解決策は見つかってないんじゃないですかね.

      # 「レピュテーション」でどうにかなると思うほど楽観的じゃない…

      • by Anonymous Coward
        昔はSSLでも身元確認しているので安全な時期があった。
        今はそれはEV-SSL。
        SSL証明書なんてただの会員証なんだから、SSL屋ではなく目的毎にちゃんと分類して発行/確認できるようになればいいんじゃないんですかね。
        たとえば親会社が子会社のSSL証明書発行して身元保証するとか、JASRAC等々業界団体やなんとか協会が所属してるよ証明にSSL証明書発行するとか。
        • by Anonymous Coward on 2009年07月10日 17時14分 (#1603143)

          昔はSSLでも身元確認しているので安全な時期があった。 今はそれはEV-SSL。

          そんなあなたにはこちら [takagi-hiromitsu.jp]をどうぞ。

          親コメント
          • by Anonymous Coward
            ただの会員証だって言ってるのにそれ出されても、何の参考にもならない。
            その企業がサーバ運営してるのは間違いないんだからそれでいいんじゃないの?
            運営者以外の何かを保証しているとでも思ってた?
        • by Anonymous Coward
          > たとえば親会社が子会社のSSL証明書発行して身元保証するとか、JASRAC等々業界団体やなんとか協会が所属してるよ証明にSSL証明書発行するとか。
          その親会社なり業界団体が発行した証明書は信用できるんですかね。
          • by Anonymous Coward
            今は製品やサービスごとにわけのわからないドメインが乱立してますよ。それがどこが運営してるかなんて、正直わかりにくすぎる。
            何も素性がわからないペーパーカンパニーよりは身元の証明になるんじゃない?
            発行管理は今までどおりのところに任せてもいいと思うけど、中間証明書に所属団体はさんでおけば、銀行なんかの業種を装うとか、そういうことはできなくなるんじゃない?
            届け出、許可が必要な業種で、違反したら停止とかやりやすそうだし。
            類似名称にご注意って事象等々は減る気がした。見せ方はそれなりに工夫する必要があるかも。

物事のやり方は一つではない -- Perlな人

処理中...