アカウント名:
パスワード:
Google ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化を提案する [security.srad.jp] など、大手認証局の問題点を指摘していること自体は、Google 自身もルート認証局 [mynavi.jp] なことから中立性に疑問はあるものの、指摘の内容は今のところは評価できます。
しかし、その一方で、ここ最近(数か月~1年前ぐらい?)のアップデートで、Google Chrome (Windows 版) から、ユーザーが認証局名(証明書)を確認するための UI が削除されてしまいました。
どの認証局を信頼するかの決定権は、ブラウザベンダーではなく、ユーザーにあるべきです。にも関わらず、わざわざアップデートでユーザーが認証局名を簡単に確認できなくした
Chromeのルート認証局ってChromeが自分で持ってるんじゃなくて、Windowsの証明書ストア使ってるんじゃないの?Chromeの設定で「証明書の管理」ボタン押して出てくるやつってOS共通のやつでしょ。
だからサイトの証明書の判定はシステム的にOSに任されているわけで、ブラウザはユーザーに目的のサイトが正当な認証のツリーに属しているかどうかさえ伝えられればよい。むしろ不適切なルート証明書がOSにインストールされていてもChromeはそれに関与せず、どの認証局を信頼するかの決定権は放棄しているように見える。
認証局の追跡が開発者レベルの機能ってのは全然問題ないと思うんだけど。ユーザーがそういうのを一々確認しなくて済むように予め信頼する事にしたルート証明書を登録してるんだから。「アクセスしたサイトの認証局を目視で確認して不可と判断する」ユースケースの想定自体がそもそもおかしくね?
Chromeのルート認証局ってChromeが自分で持ってるんじゃなくて、Windowsの証明書ストア使ってるんじゃないの?
#3205689 でも書きましたが、これはその通りです。
むしろ不適切なルート証明書がOSにインストールされていてもChromeはそれに関与せず、どの認証局を信頼するかの決定権は放棄しているように見える。
Google Chrome はOSの証明書ストアで信頼されていたとしても StartSSL の証明書を独自実装で拒否している [qiita.com] ので、どの認証局を信頼するかの決定権は放棄していません。
同じOSの証明書ストアを使っていても、IEでは受け付けるけどChromeでは拒否されるというケースがあります。
「アクセスしたサイトの認証局を目視で確認して不可と判断する」ユースケースの想定自体がそもそもおかしくね?
認証局や証明書を見ないと、DVとOVの区別も付かないので確認できないと困ります。認証局名や証明書の内容をユーザーが見る必要がないのだったら、OV証明書は一切存在価値がなく、DV証明書で十分ということになってしまいます。
スラドは、GeoTrust の RapidSSL というDV証明書(ドメイン所有者の機械的なチェックのみ)なわけですが、フォーラムサイトなので適切なレベルの証明書だと思います。一方、通販サイトで先払いやクレジットカード番号を入力するならOV証明書以上が欲しいところです。このように状況によって必要なレベルは異なるので、予め証明書ストアで信頼するかどうかを設定しておくわけにはいかないのです。あと、証明書の中身を見て実在確認された住所地をチェックするといった使い方もあるので、中身も見られる必要があります。
EV証明書が使われていれば、ユーザーがアドレスバーの色だけでも実在確認がされていることを知ることができますが、まだEV証明書はショッピングサイト等への普及が不十分です。
Googleの認識は「OV証明書はゴミ。信頼性においてDV証明書と変わらん。表示を変えてDV証明書より安全だと誤認される方が有害。見るからに安全っぽい表示をして欲しければEV証明書を使え」なんじゃないかな。実際その認識は間違ってないと思う。まあ一部のアホ認証局のせいでEV証明書の信頼性まで毀損されつつある今日この頃ではあるけど。
おっさんが昔話をするとだな、むかしは全証明書がOVだったんだよだからSSL=安全が成立した自動化して手間いらずで金儲けをしたい銭ゲハCAがDVなんてゴミ証明書を発行しだしてから世の中おかしくなった一番の戦犯はシ○ンテックじゃなくて最初にDV発行した某社だろw
信頼性は DV<<<<<<<<<<<<<<超えられない壁<<<<<<<<OV<EV ぐらいだろ
実務レベルだとOVとEVのチェック事項そんなに変わらない費用もEVも安いとこだと3万ぐらいで買えるしOVとそんなに違いはない
昔:認証局はベリサインが独占! 今のEV相当の厳重審査! 鍵マークがあれば安全今:Let's Encryptで誰でもSSL(笑) 認証局名までチェックしないと安全か分からない
一逸人以外は鍵マークチェックまでが限度だからはよ昔に戻せ認証局をオープンにして百個以上OSにルート証明書ぶち込まれてたらもはや安全性なんて保てんわw
証明書の発行を数社に独占させる方がよかったと?
一逸人?
CAは理論上不正な証明書発行し放題なんだよ? 数社独占の方が安全に決まってるじゃん
rootのパスワードを数人で共有しているサーバーと、rootのパスワードを100人に教えているサーバーのどっちが安全か考えたら分かり切ったこと
1社だと競争原理が働かなくてまずいけど、数社ありゃ自由競争原理が生まれる。数社の寡占状態の業界なんて山ほどあるけど十分に競争原理が働いてるだろ
ベリサイン独占だった時代も数万円払えば証明書は買えた訳で、フィッシング詐欺が蔓延するより社会的コストは少ないわ
CAの秘密鍵は数社で共有されてるわけじゃないんだからそのたとえはおかしいし
どのCAも www.microsoft.com とかの有効な証明書を発行して偽サイトを本物にする権限を持ってるし、コードサイニングだったらソフトの自動アップデートを騙して任意のアプリ実行できるだろだからroot権限を握っているようなもんだ
比喩なんだから厳密には違う点があるのはやむを得ないので、秘密鍵が共有されていないとか些細な点に突っ込むのは揚げ足取りというああ、じゃあrootと同様の行為が行えるsudoコマンドの実行権限を持つユーザーの人数が少ない方が安全と言えば良いか?
「一般人」を逸脱している人のこと最近はスラド用語みたいになってる
それを言うなら逸般人。typoでしょ。(はあ、無粋なツッコミだと言うことは分かっている)
なるほど確かに「一逸人」だと「いっ、いっ、じん」になっちゃうな
今まさに独占企業が派手にやらかしてるのに影響が大きすぎて極刑に処せないという状況に直面してるんだけどアホか?最大シェアのCAがたかだか数%くらいのレベルまで分散してるなら今頃WoSignもSymantecは業界から追放されて丸く収まってる。
確かにその通りやな
勇み足アスペ 「なるほど、確かに」
typo指摘だってこと、たぶんアンタ以外みんな最初からわかってるよ…
…
三点リーダーは偶数個重ねて使うものです。国語の時間に習わなかったのですか?
これだから、ゆとり世代は駄目ですね……。
それって手書き原稿で「ミ」との混同を避けるために生まれた出版業界の慣習だと思うのですが…不勉強ですみません、指導要領上では何年の国語で習うものなのですか?
原稿用紙で手書きをするときには、三点リーダーを2マス続けて書き入れるのが一般的である。これは、1946年(昭和21年)に文部省教科書局調査課国語調査室(当時)が作成した『くぎり符号の使ひ方〔句読法〕(案)』のテンテンの用例に点6つが打たれていることから広まった可能性がある。ただし同案には、テンテンの符号として点6つと点3つが併記されている。またテンテンと同種の記号として、会話で無言を表すテンセン(点9つ)を示している。項目のつなぎもテンセンとしている。それ以前から植字の現場において「ミ」等と誤植しないための、出版業界の慣習であったとする説もある(複数マスにわたって書かれていればリーダーと判断できる)。
とあったけど、明確に従わないといけないルールでは無いようですね。
OVがDVと同じ信頼性????詐欺メールいっぱい来るから興味本位で開いてるけど、OVのフィッシングサイトなんて一度も見たことねーぞ
https://rms-digicert.ne.jp/digital-certificate-news/certificates-for-phishing [rms-digicert.ne.jp] >その中でも、攻撃者から最も利用されている認証局(CA)が、Let’s EncryptとComodoの2つです。>有効なTLS証明書を利用するフィッシングサイトのうち、96%がこの2つの認証局
ならばDVとOVも色を変えれば済む話だ。
住所も確認したいという主張は無視?アップルのサファリは、鍵アイコンクリックで認証企業名、認証企業住所、認証局、これ全部一括表示されるぞなぜ住所まで表示されるか、まさしくプリンタなんとかがゆってるとおり企業名は重複が許されるからだろアップルは全部を考えて安全な設計をしている
アップルのUXが最高で、グーグルのUXがゴミであることがまた証明されたんだけどグーグル信者はこれを認められないのかね
本当だMacのSafariは1タップで住所まで表示されるんだなのになんでiphoneのSafariは見れないんだ。chromeみたいにdevtoolを使うんじゃなくて、マジで見れないよな
Macは最高レベルのUnix端末であってプログラマーなどの頭の良い人たちが使う製品なので理想的な設計になってる
一方、iPhoneは頭の悪い人をターゲットにした製品なので馬鹿には証明書の内容をチェックする能力はないと考えてシンプルな設計にしている脱獄しない限り自作アプリも動かせないiPhoneではライフハックによる作業の効率化は不可能、持ち運べるコンピュータであるAndroidと違ってただの家電製品に過ぎない
プラスアルファーで色無しもいれて4段階ぐらいなら一般人でも分かるかな?わかりやすい信号機カラーにした
赤=HTTP色無し=DV SSL黄=やや危険=OV SSL緑=安全=EV SSL
分かりやすさ重視で色無しをやめて3色なら、詐欺師御用達のDVはHTTPと同じ赤かな
危険という意味で赤をつかうなら、証明書エラーが出た場合にしてほしい。で、エラーが出ても内容はちゃんと表示するようにしてほしい。#証明書エラーが出たので手動でhttpsをhttpに切り換え→勝手にhttpsにリダイレクトとか
スラドは、GeoTrust の RapidSSL というDV証明書(ドメイン所有者の機械的なチェックのみ)なわけですが、フォーラムサイトなので適切なレベルの証明書だと思います。
スラドがただのフォーラムサイト?報道機関=マスコミだぞ
偽ニュースが社会問題になってるんだからEV SSL必須偽スラドのフェイクニュースに騙されて世論誘導されたらどうするんだ
スラドがマスコミ???取材もしていないし、ジャーナリストも居ないのに? (笑)
スラドって、パソコンの前にかじりついて他のサイトの情報まとめてるだけじゃんやってることはただの劣化コピー技術的な話題だから高度に見えるだけで、悪名だらけアフィブログ、はちま寄稿や俺的ゲーム速報JINと変わらんだろうが (笑)トピックがゲームじゃなくて技術系なだけだわ
スラドは情報ソース=リンクしか価値がないんで、偽サイトだとしても全く問題ないわまとめブログと同様、単なるリンク集と評価してる
理研の時にスラドの記者が質問してたのすら知らないでdisって、生きてて恥ずかしくないの?
じゃあ、書き込む人も EV SSL 証明書を持っている人じゃないといけないね!
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
なぜ、Google はユーザーが「認証局名」を確認する手段を奪ったのか? (スコア:5, 参考になる)
Google ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化を提案する [security.srad.jp] など、大手認証局の問題点を指摘していること自体は、Google 自身もルート認証局 [mynavi.jp] なことから中立性に疑問はあるものの、指摘の内容は今のところは評価できます。
しかし、その一方で、ここ最近(数か月~1年前ぐらい?)のアップデートで、Google Chrome (Windows 版) から、ユーザーが認証局名(証明書)を確認するための UI が削除されてしまいました。
どの認証局を信頼するかの決定権は、ブラウザベンダーではなく、ユーザーにあるべきです。にも関わらず、わざわざアップデートでユーザーが認証局名を簡単に確認できなくした
Re: (スコア:0)
Chromeのルート認証局ってChromeが自分で持ってるんじゃなくて、Windowsの証明書ストア使ってるんじゃないの?
Chromeの設定で「証明書の管理」ボタン押して出てくるやつってOS共通のやつでしょ。
だからサイトの証明書の判定はシステム的にOSに任されているわけで、ブラウザはユーザーに目的のサイトが正当な認証のツリーに属しているかどうかさえ伝えられればよい。
むしろ不適切なルート証明書がOSにインストールされていてもChromeはそれに関与せず、どの認証局を信頼するかの決定権は放棄しているように見える。
認証局の追跡が開発者レベルの機能ってのは全然問題ないと思うんだけど。
ユーザーがそういうのを一々確認しなくて済むように予め信頼する事にしたルート証明書を登録してるんだから。
「アクセスしたサイトの認証局を目視で確認して不可と判断する」ユースケースの想定自体がそもそもおかしくね?
Re:なぜ、Google はユーザーが「認証局名」を確認する手段を奪ったのか? (スコア:2)
#3205689 でも書きましたが、これはその通りです。
Google Chrome はOSの証明書ストアで信頼されていたとしても StartSSL の証明書を独自実装で拒否している [qiita.com] ので、どの認証局を信頼するかの決定権は放棄していません。
同じOSの証明書ストアを使っていても、IEでは受け付けるけどChromeでは拒否されるというケースがあります。
認証局や証明書を見ないと、DVとOVの区別も付かないので確認できないと困ります。認証局名や証明書の内容をユーザーが見る必要がないのだったら、OV証明書は一切存在価値がなく、DV証明書で十分ということになってしまいます。
スラドは、GeoTrust の RapidSSL というDV証明書(ドメイン所有者の機械的なチェックのみ)なわけですが、フォーラムサイトなので適切なレベルの証明書だと思います。一方、通販サイトで先払いやクレジットカード番号を入力するならOV証明書以上が欲しいところです。このように状況によって必要なレベルは異なるので、予め証明書ストアで信頼するかどうかを設定しておくわけにはいかないのです。あと、証明書の中身を見て実在確認された住所地をチェックするといった使い方もあるので、中身も見られる必要があります。
EV証明書が使われていれば、ユーザーがアドレスバーの色だけでも実在確認がされていることを知ることができますが、まだEV証明書はショッピングサイト等への普及が不十分です。
Re: (スコア:0)
Googleの認識は「OV証明書はゴミ。信頼性においてDV証明書と変わらん。表示を変えてDV証明書より安全だと誤認される方が有害。見るからに安全っぽい表示をして欲しければEV証明書を使え」なんじゃないかな。
実際その認識は間違ってないと思う。
まあ一部のアホ認証局のせいでEV証明書の信頼性まで毀損されつつある今日この頃ではあるけど。
Re:なぜ、Google はユーザーが「認証局名」を確認する手段を奪ったのか? (スコア:1)
おっさんが昔話をするとだな、むかしは全証明書がOVだったんだよ
だからSSL=安全が成立した
自動化して手間いらずで金儲けをしたい銭ゲハCAがDVなんてゴミ証明書を発行しだしてから世の中おかしくなった
一番の戦犯はシ○ンテックじゃなくて最初にDV発行した某社だろw
信頼性は DV<<<<<<<<<<<<<<超えられない壁<<<<<<<<OV<EV ぐらいだろ
実務レベルだとOVとEVのチェック事項そんなに変わらない
費用もEVも安いとこだと3万ぐらいで買えるしOVとそんなに違いはない
まさにこれ! (スコア:0)
昔:認証局はベリサインが独占! 今のEV相当の厳重審査! 鍵マークがあれば安全
今:Let's Encryptで誰でもSSL(笑) 認証局名までチェックしないと安全か分からない
一逸人以外は鍵マークチェックまでが限度だからはよ昔に戻せ
認証局をオープンにして百個以上OSにルート証明書ぶち込まれてたらもはや安全性なんて保てんわw
Re: (スコア:0)
証明書の発行を数社に独占させる方がよかったと?
Re: (スコア:0)
一逸人?
Re: (スコア:0)
証明書の発行を数社に独占させる方がよかったと?
CAは理論上不正な証明書発行し放題なんだよ? 数社独占の方が安全に決まってるじゃん
rootのパスワードを数人で共有しているサーバーと、rootのパスワードを100人に教えているサーバーのどっちが安全か考えたら分かり切ったこと
1社だと競争原理が働かなくてまずいけど、数社ありゃ自由競争原理が生まれる。数社の寡占状態の業界なんて山ほどあるけど十分に競争原理が働いてるだろ
ベリサイン独占だった時代も数万円払えば証明書は買えた訳で、フィッシング詐欺が蔓延するより社会的コストは少ないわ
Re: (スコア:0)
CAの秘密鍵は数社で共有されてるわけじゃないんだからそのたとえはおかしいし
Re: (スコア:0)
CAの秘密鍵は数社で共有されてるわけじゃないんだからそのたとえはおかしいし
どのCAも www.microsoft.com とかの有効な証明書を発行して偽サイトを本物にする権限を持ってるし、コードサイニングだったらソフトの自動アップデートを騙して任意のアプリ実行できるだろ
だからroot権限を握っているようなもんだ
比喩なんだから厳密には違う点があるのはやむを得ないので、秘密鍵が共有されていないとか些細な点に突っ込むのは揚げ足取りという
ああ、じゃあrootと同様の行為が行えるsudoコマンドの実行権限を持つユーザーの人数が少ない方が安全と言えば良いか?
Re: (スコア:0)
一逸人?
「一般人」を逸脱している人のこと
最近はスラド用語みたいになってる
Re: (スコア:0)
それを言うなら逸般人。typoでしょ。(はあ、無粋なツッコミだと言うことは分かっている)
Re: (スコア:0)
それを言うなら逸般人。typoでしょ。(はあ、無粋なツッコミだと言うことは分かっている)
なるほど
確かに「一逸人」だと「いっ、いっ、じん」になっちゃうな
Re: (スコア:0)
今まさに独占企業が派手にやらかしてるのに影響が大きすぎて極刑に処せないという状況に直面してるんだけどアホか?
最大シェアのCAがたかだか数%くらいのレベルまで分散してるなら今頃WoSignもSymantecは業界から追放されて丸く収まってる。
Re: (スコア:0)
今まさに独占企業が派手にやらかしてるのに影響が大きすぎて極刑に処せないという状況に直面してるんだけどアホか?
最大シェアのCAがたかだか数%くらいのレベルまで分散してるなら今頃WoSignもSymantecは業界から追放されて丸く収まってる。
確かにその通りやな
Re: (スコア:0)
勇み足アスペ 「なるほど、確かに」
typo指摘だってこと、たぶんアンタ以外みんな最初からわかってるよ…
Re: (スコア:0)
…
三点リーダーは偶数個重ねて使うものです。国語の時間に習わなかったのですか?
これだから、ゆとり世代は駄目ですね……。
Re: (スコア:0)
それって手書き原稿で「ミ」との混同を避けるために生まれた出版業界の慣習だと思うのですが…
不勉強ですみません、指導要領上では何年の国語で習うものなのですか?
Re: (スコア:0)
とあったけど、明確に従わないといけないルールでは無いようですね。
Re: (スコア:0)
OVがDVと同じ信頼性????
詐欺メールいっぱい来るから興味本位で開いてるけど、OVのフィッシングサイトなんて一度も見たことねーぞ
https://rms-digicert.ne.jp/digital-certificate-news/certificates-for-phishing [rms-digicert.ne.jp]
>その中でも、攻撃者から最も利用されている認証局(CA)が、Let’s EncryptとComodoの2つです。
>有効なTLS証明書を利用するフィッシングサイトのうち、96%がこの2つの認証局
Re: (スコア:0)
ならばDVとOVも色を変えれば済む話だ。
Re: (スコア:0)
ならばDVとOVも色を変えれば済む話だ。
住所も確認したいという主張は無視?
アップルのサファリは、鍵アイコンクリックで認証企業名、認証企業住所、認証局、これ全部一括表示されるぞ
なぜ住所まで表示されるか、まさしくプリンタなんとかがゆってるとおり企業名は重複が許されるからだろ
アップルは全部を考えて安全な設計をしている
アップルのUXが最高で、グーグルのUXがゴミであることがまた証明されたんだけど
グーグル信者はこれを認められないのかね
Re:なぜ、Google はユーザーが「認証局名」を確認する手段を奪ったのか? (スコア:1)
本当だMacのSafariは1タップで住所まで表示されるんだ
なのになんでiphoneのSafariは見れないんだ。chromeみたいにdevtoolを使うんじゃなくて、マジで見れないよな
Re: (スコア:0)
本当だMacのSafariは1タップで住所まで表示されるんだ
なのになんでiphoneのSafariは見れないんだ。chromeみたいにdevtoolを使うんじゃなくて、マジで見れないよな
Macは最高レベルのUnix端末であってプログラマーなどの頭の良い人たちが使う製品なので理想的な設計になってる
一方、iPhoneは頭の悪い人をターゲットにした製品なので馬鹿には証明書の内容をチェックする能力はないと考えてシンプルな設計にしている
脱獄しない限り自作アプリも動かせないiPhoneではライフハックによる作業の効率化は不可能、持ち運べるコンピュータであるAndroidと違ってただの家電製品に過ぎない
一般人が分かるのは3色まで! (スコア:0)
プラスアルファーで色無しもいれて4段階ぐらいなら一般人でも分かるかな?
わかりやすい信号機カラーにした
赤=HTTP
色無し=DV SSL
黄=やや危険=OV SSL
緑=安全=EV SSL
分かりやすさ重視で色無しをやめて3色なら、詐欺師御用達のDVはHTTPと同じ赤かな
Re: (スコア:0)
危険という意味で赤をつかうなら、証明書エラーが出た場合にしてほしい。
で、エラーが出ても内容はちゃんと表示するようにしてほしい。
#証明書エラーが出たので手動でhttpsをhttpに切り換え→勝手にhttpsにリダイレクトとか
スラドをdisるのは止めろ! (スコア:0)
スラドは、GeoTrust の RapidSSL というDV証明書(ドメイン所有者の機械的なチェックのみ)なわけですが、フォーラムサイトなので適切なレベルの証明書だと思います。
スラドがただのフォーラムサイト?
報道機関=マスコミだぞ
偽ニュースが社会問題になってるんだからEV SSL必須
偽スラドのフェイクニュースに騙されて世論誘導されたらどうするんだ
Re: (スコア:0)
スラドがマスコミ???
取材もしていないし、ジャーナリストも居ないのに? (笑)
スラドって、パソコンの前にかじりついて他のサイトの情報まとめてるだけじゃん
やってることはただの劣化コピー
技術的な話題だから高度に見えるだけで、悪名だらけアフィブログ、はちま寄稿や俺的ゲーム速報JINと変わらんだろうが (笑)
トピックがゲームじゃなくて技術系なだけだわ
スラドは情報ソース=リンクしか価値がないんで、偽サイトだとしても全く問題ないわ
まとめブログと同様、単なるリンク集と評価してる
Re: (スコア:0)
理研の時にスラドの記者が質問してたのすら知らないでdisって、
生きてて恥ずかしくないの?
Re: (スコア:0)
じゃあ、書き込む人も EV SSL 証明書を持っている人じゃないといけないね!