ちなみに、Let's Encrypt が証明書取得時に参照している Google のセーフブラウジングAPIは誤検出が極めて多く、それに対する対応も不十分(人件費をケチっていて誤検出のクレームに対応する人間が殆どいないと思われる)で、Webサイト所有者がクレームを送っても放置されることが日常茶飯事です。
Google セーフブラウジングAPIは、Google Chrome や Firefox で標準で有効となっており誤検出≒検閲 となるのですから、技術的に自動判定の誤検出がやむを得ないとしても、Webサイト所有者からのクレームに迅速に対応すべきだと思います。それがコスト的にできないのであれば、無責任に検閲となるようなAPIを提供すべきではないと思います。特に Google は営利企業で、Google Chrome は自社の広告収益増加のために自社サービスへの誘導を目的に配布しているようなものですから、無責任な対応は非難されるべきです。
DV証明書というのは、単に通信が暗号化されていることと、当該ドメイン名の所有者と通信を行っていることを証明するものなのですから、フィッシングやらマルウェアやらの対応をさせるのはお門違いだと思います。そういったことをするのは、セキュリティ対策ソフトの役目なので、証明書発行時の Google セーフブラウジングAPIのチェックも止めて良いと思います。
Google セーフブラウジングAPIの「誤検出」というのは、Google セーフブラウジングAPIを採用しているブラウザのユーザーが不利益を受けるだけでなく、Webサイトのオーナーに冤罪をふっかることになります。意図してそのサービスを利用しているユーザー以外のWebサイトオーナーが不利益を受け、事実上の検閲になり得るので、誤検出≒冤罪への対応が不十分な Google が悪いと考えています。
想定の範囲内であって問題視されるべきではない (スコア:5, 興味深い)
ISRG エグゼクティブ・ディレクターのJosh Aas氏はこういった事態が発生することを予め想定しており、Let's Encrypt のオープンベータ開始から1ヶ月以上前に フィッシング詐欺やマルウェアとの戦いにおける認証局の役割 [letsencrypt.jp](原文は The CA's Role in Fighting Phishing and Malware [letsencrypt.org])というブログ記事を書いてます。
長いので要約すると、
といった感じ。
ちなみに、Let's Encrypt が証明書取得時に参照している Google のセーフブラウジングAPIは誤検出が極めて多く、それに対する対応も不十分(人件費をケチっていて誤検出のクレームに対応する人間が殆どいないと思われる)で、Webサイト所有者がクレームを送っても放置されることが日常茶飯事です。
ベクターなんかは長期的に誤検出されて大きなダメージを受けた [impress.co.jp]し、「security.srad.jp」が誤検出されていた時期もありました。
Google セーフブラウジングAPIは、Google Chrome や Firefox で標準で有効となっており誤検出≒検閲 となるのですから、技術的に自動判定の誤検出がやむを得ないとしても、Webサイト所有者からのクレームに迅速に対応すべきだと思います。それがコスト的にできないのであれば、無責任に検閲となるようなAPIを提供すべきではないと思います。特に Google は営利企業で、Google Chrome は自社の広告収益増加のために自社サービスへの誘導を目的に配布しているようなものですから、無責任な対応は非難されるべきです。
DV証明書というのは、単に通信が暗号化されていることと、当該ドメイン名の所有者と通信を行っていることを証明するものなのですから、フィッシングやらマルウェアやらの対応をさせるのはお門違いだと思います。そういったことをするのは、セキュリティ対策ソフトの役目なので、証明書発行時の Google セーフブラウジングAPIのチェックも止めて良いと思います。
大手CAが誤認させるような宣伝をして証明書を販売していた時期があった影響か、未だに SSL/TLS による暗号化が行われている = 安全なWebサイト といった誤解をしている人がいますが、それが間違いであることは明白です。
Re:想定の範囲内であって問題視されるべきではない (スコア:1)
しいていえば、DV、OV、EVという分類以外にWeb、メール、コード署名みたい分類の1つとして、本体Webのみ用みたいなサブ区分があればいいのかなと思う。
このタイプならたとえば、元ページ以外の埋め込みの外部ドメインならNGになる、とかなら比較的問題を減らせると思うんだが、どうだろう。
# というか、トラッフィック負担とか安全性保障を考えると、信頼できる広告会社のEV以外は弾きたい所
M-FalconSky (暑いか寒い)
Re:想定の範囲内であって問題視されるべきではない (スコア:1)
Re: (スコア:0)
証明書の件については「そもそもDV証明書を過度に信頼するユーザが間違ってる」って論なのに、
GoogleのセーフブラウジングAPIについては「Googleが悪い」って言ってるのがちょっと、筋が通ってないんじゃないかと思う。
DV証明書のような「仕様に基づく限界をユーザは理解しなければならない」という考えをベースにするスタンスなら、
Googleセーフブラウジングだって、Googleはユーザになにも保証してないのだから、過度に信頼するユーザが悪い。
逆に、企業にはそれなりに責任って物がある、というスタンスでいうなら、
一般ユーザの、SSL証明書に対する過度な信頼は大手CA局のせいであって、
DV証明書に本来の技術で対応できる以上の信頼を寄せてしまう一般ユーザは何も悪くない。
Re:想定の範囲内であって問題視されるべきではない (スコア:3)
Google セーフブラウジングAPIの「誤検出」というのは、Google セーフブラウジングAPIを採用しているブラウザのユーザーが不利益を受けるだけでなく、Webサイトのオーナーに冤罪をふっかることになります。意図してそのサービスを利用しているユーザー以外のWebサイトオーナーが不利益を受け、事実上の検閲になり得るので、誤検出≒冤罪への対応が不十分な Google が悪いと考えています。
また、DV証明書は悪質なサイトでないことを証明するものではないので悪質なサイトに対処する必要はありませんが、Google セーフブラウジングAPIはマルウェアやフィッシングを検出するための機能なので、誤検出を迅速に修正するのは本来の業務の範囲であるべきです。仮に、誤検出をしてしまうまでは仕方ないとしても、誤検出に対するクレームにまともに人間が対応する窓口が無いのは問題です。
確かに、おっしゃる通り、諸悪の根源は「一般ユーザー」ではなく、(EV証明書ができる前の)過去の大手認証局の宣伝だと思います。
# DV証明書に過剰な信頼を寄せることはユーザーにとって不利益(皮肉なことにも EV証明書を高額で売りたい今現在の大手認証局にとっても不利益)なので、誤った認識は修正されるべきですが。
Re:想定の範囲内であって問題視されるべきではない (スコア:1)
EV証明書にしても登記簿や戸籍みたいなものですよね。
その組織の実在を証明するのが目的であって、善良か悪徳かについては何も言っていない。
DV証明書に至っては、トイレのドアをノックしてノックが返ってきたら、その個室に人がいる程度の事しか分からない。
いずれにせよ、その相手を信用するかどうかはユーザーが自分で判断する以外にない。当たり前の話ですね。
Re: (スコア:0)
元コメに対して、ユーザに責任転嫁してGoogleを弁護するのは、さすがに無理があるだろ。
単に手続きに従って発行しているだけの証明書と、積極的なネット検閲であるGoogle Safe Browsingは同列には扱えない。
この件でLet's Encryptには何の瑕疵もないが、合法なサイトを誤判定して閲覧を妨げ、サイトに損害を与えるのは、Googleに瑕疵がある。
そりゃ技術的にはオフにできるけど、ChromeとFirefoxでデフォルトで適用されており、
誤判定のリスクもオフにする方法も明確に表示されていない状態で、「ユーザの選択だ」というのは、
サービス提供業者の肩を持ち過ぎだ。
Re: (スコア:0)
犯罪者やテロリストを取り締まるのはソフトウェアランセンスではないって考え方と似てますね。
感情的に許せない人が多そうなのも似てる。
Re: (スコア:0)
>DV証明書というのは、単に通信が暗号化されていることと、当該ドメイン名の所有者と通信を行っていることを証明するものなのですから、
それなら認証局である必要ないだろ。オレオレ証明書と変わらん。
認証局ってのは最初からドメインがある程度信用できる事を確信した上で証明書を発行することを前提に仕様が組まれてるんだよ・
Re: (スコア:0)
> 認証局ってのは最初からドメインがある程度信用できる事を確信した上で証明書を発行することを前提に仕様が組まれてるんだよ・
ドメインで何をやっているかなんて、考慮せずに証明書は発行されます。
ぶっちゃけ、管理者ユーザに届くメールアドレスがあって、証明書の発行手数料を支払ってもらえれば
証明書は発行されます。
認証局で発行された証明書とおれおれ証明書の違いは、発行した証明書の正当性が、第三者によって保証されるか否かだけです。
おれおれ証明書を使ってサイトを運営しても、セキュリティは低下しません。
ただ、証明書が改ざんされていないことや、秘密鍵が漏洩されていないことを自ら保証しないといけませんがね。
Re: (スコア:0)
Google叩こうとしてるロジックがAppleの完全否定になってるってことだけはわかった