アカウント名:
パスワード:
証明書の本人確認って、郵便の到達や紙の書類で確認するだけなんだよね?
例えば登記簿謄本とかで確認するんだろうけど、海外の業者にどれだけ有効なんだろ? 丁寧にニセモノを作れば騙せそうな気がするんだけど。郵便は民間の私書箱でも使えば問題ないし。
日本でそれなりに有名な企業名を名乗っていたとしても、それを知らないかもしれないし、有名企業の社名やブランド名と同じ名の零細企業があったとしても、それが即、商標法違反というわけでもないから、ニセモノだと判断できない気がする。この辺り、どんな運用なんだろうね。
SSLは充分に有用な仕組みだとは思うんだけど、かといって、それほど信用できるものでもない気がする。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
SSLが必要か? (スコア:1, おもしろおかしい)
途中で盗聴されて個人情報が漏れるよりも、
セミナー主催者の悪意や不手際で漏れる方が
よっぽどありそうなんだが。
Re: (スコア:0)
機密性の問題ではありません。信憑性の問題です。
いまだに、SSLといえば暗号化しか思いつかない人もいるんですね。
何故フィッシングが成功するか理解できてますか?
何故EV SSLが必要となったか理解できてますか?
>セミナー主催者の悪意や不手際で漏れる方が
>よっぽどありそうなんだが。
「よっぽどありそう」だとあなたが思うリスクがあるからといって、
その他のリスクを無視していいということはありません。
Re: (スコア:3, 参考になる)
証明書の本人確認って、郵便の到達や紙の書類で確認するだけなんだよね?
例えば登記簿謄本とかで確認するんだろうけど、海外の業者にどれだけ有効なんだろ? 丁寧にニセモノを作れば騙せそうな気がするんだけど。郵便は民間の私書箱でも使えば問題ないし。
日本でそれなりに有名な企業名を名乗っていたとしても、それを知らないかもしれないし、有名企業の社名やブランド名と同じ名の零細企業があったとしても、それが即、商標法違反というわけでもないから、ニセモノだと判断できない気がする。この辺り、どんな運用なんだろうね。
SSLは充分に有用な仕組みだとは思うんだけど、かといって、それほど信用できるものでもない気がする。
Re:SSLが必要か? (スコア:3, 参考になる)
代表的な実在性認証を行う証明書では、ドメイン名登録者との整合性、登記簿謄本などを用いて実在性、電話で本人性を確認しています。
またドメイン認証と呼ばれている安価な証明書では、ドメイン名を登録した時に申告したメールアドレスに届くメールアドレスがWhois情報に公開されていますので、そこにメールが届けば認証したとみなす模様です。
悪意の有無とは関係なく同名の企業は存在します。ですから、実在性認証をした証明書を使っていても、通信相手の企業が自分が目的とする企業なのかは、証明書を受け取った利用者が確認する必要が有るでしょうね。厳格には毎回確認すべきと思いますが、そこまでしなくとも初めて参照したWebサイトでは証明書の記載事項を確認するのが良いと思います。
ドメイン認証の証明書では、企業団体名の記載はきっと無いと思いますので、そのドメイン名が確実に目的のドメイン名であると確信が持てなければ、とりあえず怪しいと疑っても良いと思います。
フィッシングサイトなど偽サイトを運用する側から見れば、仮に証明書を取得しようとするなら、手間暇を掛けた上に多額の代金を支払わないといけない実在性認証の証明書を取得するより、遥かに簡単に安価なドメイン認証の証明書を取得するように思いますね。
SSLだから信用できるという物ではなく、証明書の中身をきちんと見て、通信相手が目的の相手だと利用者自信が確信を持てる事が重要だと思いますね。