認証局がどのような基準で証明書を発行するのか、そのために認証局はどのような運営をしているのかという事については、証明書ポリシー(CP)や認証局運用規程(CPS)という文書で公開する事になっています。それらを公開している場所は証明書に記載されていますので誰でもそれを閲覧し知る事ができるようになっています。ちなみに高島屋はSECOM Passport for web CA発行の証明書を使っており、 https://repo1.secomtrust.net/spcpp/pfw/pfwca/ [secomtrust.net] がそれに当たります。
Re: 実在証明つきSSL(企業認証SSL)は無意味じゃね? (スコア:2)
「一般利用者が実在証明の見方を知らない現状では、実在証明つきSSLは無意味」というのは間違いです。
高木さんの論理は「ドメイン名が広く知られている場合」という話ですので、ドメイン名が信用できるかどうか*判断できる*という前提に立っている話です。しかしドメイン名という文字列は一般的に信用できる物では有りません。ですから、「実在証明はなくてもよいと思う」というのも当然一般化できる話では有りません。
そもそも証明書はネットを介した通信相手は何処の誰か判らないという事を前提としており、その状況下で通信相手が自分の目的とした通信
Re: (スコア:1)
属性ドメインの話は本筋ではないので割愛します。
>「takashimaya.comが百貨店の高島屋ではない」と知っている人しか、それは判らないのです。
というのと、
「サイトシールをクリックして実在証明を確認すること」を知っている人しか、それは判らないのです
というのとどう違いますか?
また逆にお聞きしますが、
takashimaya.co.jpというドメイン名が百貨店の高島屋であると、実在証明でどうやって確認できますか?
購入してSSLページに行ってサイトシール実在証明を見るまで確認できませんか?
(見あたらないけど)実在証明があったとしたら、同名の別会社ではなく「百貨店の高島屋」であると確認で
Re: (スコア:2)
> >「takashimaya.comが百貨店の高島屋ではない」と知っている人しか、それは判らないのです。
> というのと、
> 「サイトシールをクリックして実在証明を確認すること」を知っている人しか、それは判らないのです
> というのとどう違いますか?
全く違います。
前者はtakashimaya.comという特定のドメイン名に対する知識であり、後者はスキルです。ですから前者はtakashimaya.comという特定のドメイン以外には全く関係が無く応用できない物ですが、後者は安全にインターネットを利用するための情報リテラシとして、takashimaya.com以外のドメインにも一般に応用で
Re: (スコア:1)
> takashimaya.co.jpというドメイン名が百貨店の高島屋であると、実在証明でどうやって確認できますか?
Re: (スコア:2)
> takashimaya.co.jpというドメイン名が百貨店の高島屋であると、実在証明でどうやって確認できますか?
CN = www.takashimaya.co.jp
OU = sys1
O = Takashimaya co., Ltd.
L = Osaka
S = Osaka
C = JP
Re: (スコア:1)
しつこいですが同名の別会社ではなく「百貨店の高島屋」であると確認できますか?
別の手段で「百貨店の高島屋」の登記地を知っておく必要があるし、日本の現行法では同一市内に同名会社が存在しえます
それに、認証局ごとの証明方針を知っておく必要があるのでは?
証明書のO,L,S,Cだけで信頼できる実在証明であると判断できるなら、新たにEVSSLなんて決める必要ないでしょう。
Re: 実在証明つきSSL(企業認証SSL)は無意味じゃね? (スコア:2)
> しつこいですが同名の別会社ではなく「百貨店の高島屋」であると確認できますか?
> 別の手段で「百貨店の高島屋」の登記地を知っておく必要があるし、日本の現行法では同一市内に同名会社が存在しえます
その通りです。
しかし通信相手が何処の誰かが確実である事を示す事が信用の基本である事には変わりませんし、その内容を見てもまだ疑念が晴れないなら取引を中断するなり更に調べてみるなりするという事をすれば良いのです。また類似商号の問題はそれで「百貨店の高島屋」と酷似した紛らわしい商売をするのは、恐らく不正競争防止法か何かに抵触する犯罪でしょう。相手が何処の誰かが明確ならばそのような事件は生じにくいですし、また生じてたとしても相手が何処の誰か判らない状態に比べれば解決は比較的容易です。
何れにしてもこれらは「百貨店の高島屋」の登記地を知っているという知識の話ではなく、安全に取引をするためにはどうすれば良いかというスキルの話です。実社会での取引と全く同じ話であって実在認証に起因する問題では有りませんし、またドメイン認証では更に問題を大きくする事は有っても問題を小さくする事は有り得ません。
> それに、認証局ごとの証明方針を知っておく必要があるのでは?
それも知識の問題ではなくスキルの問題です。
認証局がどのような基準で証明書を発行するのか、そのために認証局はどのような運営をしているのかという事については、証明書ポリシー(CP)や認証局運用規程(CPS)という文書で公開する事になっています。それらを公開している場所は証明書に記載されていますので誰でもそれを閲覧し知る事ができるようになっています。ちなみに高島屋はSECOM Passport for web CA発行の証明書を使っており、 https://repo1.secomtrust.net/spcpp/pfw/pfwca/ [secomtrust.net] がそれに当たります。
もっともこの内容を一般の人に全て理解せよというのは無理な話です。しかし幸いな事に「信頼できる認証局」からパスが通った認証局ならば、実在認証の証明書には全て組織名や所在地が記載されています。逆に(少なくとも私が知っている限り)ドメイン認証の証明書には組織名や所在地の情報は記載されていないはずです。ですから組織名や所在地の情報が無ければ、ドメイン認証の証明書であって自分が知っているドメイン名と確信できなければ怪しいと考えて問題ないでしょう。
> 証明書のO,L,S,Cだけで信頼できる実在証明であると判断できるなら、新たにEVSSLなんて決める必要ないでしょう。
いいえ、それは違います。
元々SSLにはドメイン認証というような物は存在せず、全ての証明書は実在認証でした。そこに実在を確認しないで機械的に証明書を発行する認証局が登場したために、実在認証とドメイン認証が一見して区別できないという問題からEV-SSLが生まれたのです。実在認証の信頼性が否定されているのでは有りません。
もし「信頼できる認証局」が発行した物でありながら、ドメイン認証の証明書に組織名や所在地が記載されている証明書が有れば教えて下さい。その認証局は信頼度が低いと広めようと思いますので。
Re: 実在証明つきSSL(企業認証SSL)は無意味じゃね? (スコア:1)
もともと実在証明だけの時代から信頼性があり、ドメイン認証の出現で区別できなくなったというだけなら
ドメイン認証を区別(視覚化)するだけでいいと思うのですが
わざわざ第三のEV-SSLを定めてそれのみを区別するようにしたのは何故でしょう?
ただの便乗
ボッタクリビジネス?Re: 実在証明つきSSL(企業認証SSL)は無意味じゃね? (スコア:2)
体調が悪く臥せっておりました。返事が遅くなり済みません。
> もともと実在証明だけの時代から信頼性があり、ドメイン認証の出現で区別できなくなったというだけなら
> ドメイン認証を区別(視覚化)するだけでいいと思うのですが
ええ、全くその通りです。
理想的にはEV-SSLのように、EV/OV(組織認証=実在認証)/DV(ドメイン認証)の種別や証明書の発行元/発行先について、証明書の詳細を新しく表示しなくとも自動的に表示できるようにすべきと思います。
標準機能では無理ですが、ブラウザの拡張機能などを使ってこれが実現できれば、ドメイン認証の証明書をフィッシング詐欺などに悪用されても被害を未然に防ぐ事ができるように思います。
> わざわざ第三のEV-SSLを定めてそれのみを区別するようにしたのは何故でしょう?
> ただの便乗
ボッタクリビジネス?私が聞いた話では、EV-SSLを新たに作って便乗
ボッタクリビジネスを始めるためでは有りません。まずブラウザ上でOV/EVの区別ができるようにすべきという話がきっかけとなり、それを実施するに際して技術的に明確な基準を定める必要性や、認証局ごとに決められている既存の証明書に関する認証基準やそれに基づいたビジネスへの影響などが議論された結果、認証局に依らず統一された認証基準(EV)が必要という結論に達したというところです。