アカウント名:
パスワード:
シマンテックのドメイン認証SSL "GeoTrust"、 2006.02.14 のブログ記事 [cocolog-nifty.com]の危険が10年以上も危ないままなので自浄作用は期待できません。
No! GeoTrust [cocolog-nifty.com]のメソッドで「この証明書の目的をすべて無効にする」にしましょう。無効にするとスラドにもアクセスできなくなるので、この無効にする方法の
GeoTrustが登場する前はSSL会社はタウンページ・登記簿謄本で会社確認して、担当者にファックスして意思確認して、秘密鍵はフロッピーディスクに焼いて登記地に書留で送ってたんですSSLの安全モデルを壊して「SSLでも相手が信用できない」という状態になったのは全部GeoTrustのせいです
--
No! GeoTrust [cocolog-nifty.com] - GeoTrust追放の輪を広げよう
GeoTrust以前も世界的には割とユルユルよ別ツリーでOVとEVは大差ないキリッとか言ってるアホいるけど、そんなわけねーw
そもそも「SSLだから」というだけで安全なんてのは仕様上一切担保されていない担保されているのはあくまでドメインの所有者と証明書の所有者が同じってことで、そこから派生してCAが身元まで確認するとしてどこまで確認するんだというのが問題になったからEVってものができたまあ何だかんだでEVもガバいとこあるから、今後もっとルールが厳格化された上位バージョンが来る可能性もあるけど
> 担保されているのはあくまでドメインの所有者と証明書の所有者が同じこれだって別に担保されてはいないのでは?Let's Encrypt なんかだと、ドメイン所有者でない人が勝手に DNS 登録をして正規の証明書を取得できてしまうし。
無理だよ。そもそもルートDNSからそのホスト名を辿れることが前提なんだから。DVを何の略だと思ってるんだ。WoSignがそこでやらかしてえらいことになったわけで。もしや上でDVを赤にしろとか言ってる奴がいるのはそこから勘違いしてるせいか……。
理屈が分からないとしても、もしそんなことが可能なら今頃google.comの偽証明書が世の中に氾濫している(が実際そうなっていない)という想像くらいはしてくれんか。
SSLの基本は、経路が暗号化されていることと、そのホスト名のDNSとWebサーバに権限を持っていること、まで。OVになるとオンライン以外の手段で何らかの連絡を1つしてることが求められるけど、電話番号が1つあればいいレベルなので実にガバ。もしOVとEVを緑にしますとかやったら間違いなくフィッシングは全部OVになると言える。EVはもうちょい厳しいけど他でも言われてる通り登記名被ったらどうすんのとかは考慮されてないから絶対とは言えないね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
GeoTrust の証明書をブロックしよう (スコア:0)
シマンテックのドメイン認証SSL "GeoTrust"、 2006.02.14 のブログ記事 [cocolog-nifty.com]の危険が10年以上も危ないままなので自浄作用は期待できません。
No! GeoTrust [cocolog-nifty.com]のメソッドで「この証明書の目的をすべて無効にする」にしましょう。
無効にするとスラドにもアクセスできなくなるので、この無効にする方法の
No! More! GeoTrust! (スコア:0)
GeoTrustが登場する前はSSL会社はタウンページ・登記簿謄本で会社確認して、担当者にファックスして意思確認して、秘密鍵はフロッピーディスクに焼いて登記地に書留で送ってたんです
SSLの安全モデルを壊して「SSLでも相手が信用できない」という状態になったのは全部GeoTrustのせいです
--
No! GeoTrust [cocolog-nifty.com] - GeoTrust追放の輪を広げよう
Re: (スコア:0)
GeoTrust以前も世界的には割とユルユルよ
別ツリーでOVとEVは大差ないキリッとか言ってるアホいるけど、そんなわけねーw
そもそも「SSLだから」というだけで安全なんてのは仕様上一切担保されていない
担保されているのはあくまでドメインの所有者と証明書の所有者が同じってことで、そこから派生してCAが身元まで確認するとしてどこまで確認するんだというのが問題になったからEVってものができた
まあ何だかんだでEVもガバいとこあるから、今後もっとルールが厳格化された上位バージョンが来る可能性もあるけど
Re: (スコア:0)
> 担保されているのはあくまでドメインの所有者と証明書の所有者が同じ
これだって別に担保されてはいないのでは?
Let's Encrypt なんかだと、ドメイン所有者でない人が勝手に DNS 登録をして
正規の証明書を取得できてしまうし。
Re:No! More! GeoTrust! (スコア:0)
無理だよ。そもそもルートDNSからそのホスト名を辿れることが前提なんだから。DVを何の略だと思ってるんだ。
WoSignがそこでやらかしてえらいことになったわけで。
もしや上でDVを赤にしろとか言ってる奴がいるのはそこから勘違いしてるせいか……。
理屈が分からないとしても、もしそんなことが可能なら今頃google.comの偽証明書が世の中に氾濫している(が実際そうなっていない)という想像くらいはしてくれんか。
SSLの基本は、経路が暗号化されていることと、そのホスト名のDNSとWebサーバに権限を持っていること、まで。
OVになるとオンライン以外の手段で何らかの連絡を1つしてることが求められるけど、電話番号が1つあればいいレベルなので実にガバ。もしOVとEVを緑にしますとかやったら間違いなくフィッシングは全部OVになると言える。
EVはもうちょい厳しいけど他でも言われてる通り登記名被ったらどうすんのとかは考慮されてないから絶対とは言えないね。