また、金融機関(銀行・証券会社・クレジットカード会社)の場合は、アドレスバーの一部が緑色になっていること(CA/Browser Forum の指針に基づく発効要件に従って物理的・法的実在性が厳格に審査されている EV証明書であること)を合わせて確認すべきです。EV 証明書の場合を使用している みずほ銀行のログイン画面 [mizuhobank.co.jp] のようなケースの場合、「サブジェクト」から認証局が実在を確認している住所を番地まで確認することができます。
CN = web.ib.mizuhobank.co.jp OU = IT system ibweb03 O = Mizuho Bank,Ltd. STREET = 1-5-5 Otemachi L = Chiyoda-ku S = Tokyo PostalCode = 100-8176 C = JP SERIALNUMBER = 0100-01-008845 2.5.4.15 = Private Organization 1.3.6.1.4.1.311.60.2.1.3 = JP
一般ユーザーが確認すべきなのは「サブジェクト」 (スコア:2)
Chrome 60 ではまだデフォルトで無効ではあるものの、なぜ、Google はユーザーが「認証局名」を確認する手段を奪ったのか? [srad.jp] で書いた問題が解決の方向に向かったのは嬉しいです。
証明書には様々なフィールドがあって何を確認すべきか分からないという人向けに書いておくと、証明書において一般ユーザーが確認すべきフィールドは「サブジェクト」です。
例えば、Suica ポイントクラブのログイン画面 [suicapoint.com] が、本物のサイトなのかフィッシング詐欺サイトなのかを確認したい場合には、証明書確認画面の詳細タブの「サブジェクト」をチェックすることで、認証局が「東京都渋谷区」にある「East Japan Railway Company」が運営しているサイトであると認証していることが分かり、東日本旅客鉄道株式会社(JR東日本)が運営している正規のサイトである可能性が高いことが分かります。
認証局に提出した登記事項証明書が偽造されている可能性とか、同名の会社が存在する可能性などもありますが、今のところはフィッシング詐欺サイトがそこまでしているケースは皆無なので、サブジェクトまで確認すればフィッシング詐欺に引っかかるリスクは(今のところは)殆どなくなります。
フィッシング詐欺を警戒すべきなのは、スラド [srad.jp] のように、「サブジェクト」をチェックしてもドメイン名以外の情報が確認できない場合です。
この場合、認証局が確認したのはドメイン名の使用者であるということだけ(Let's Encryptと同等のDV証明書)なので、証明書からは実在の組織との関連は判定することができません。スラドの場合は、ただのフォーラムサイトなのでどうでも良いですが、仮に先払いの通販サイトだったりした場合には、購買の前に .co.jp ドメインの企業のコーポレートサイトからリンクされているかどうかなど、別の方法で実在の組織との関連付けを確認する必要があります。
また、金融機関(銀行・証券会社・クレジットカード会社)の場合は、アドレスバーの一部が緑色になっていること(CA/Browser Forum の指針に基づく発効要件に従って物理的・法的実在性が厳格に審査されている EV証明書であること)を合わせて確認すべきです。EV 証明書の場合を使用している みずほ銀行のログイン画面 [mizuhobank.co.jp] のようなケースの場合、「サブジェクト」から認証局が実在を確認している住所を番地まで確認することができます。
# CNやSANsとアドレスバーのドメイン名の一致、有効期限、署名アルゴリズムの安全性は、ブラウザが勝手に検証するので一般人が確認する必要はありません。
Re: (スコア:0)
気持ちは分かる。
技術的にも正しい。
ただ、何をすべきか分からない人は、そもそも証明書において一般ユーザは『そんな面倒なことはしてくれない』です。
アドレスバーが緑か青ならOK、赤か黄ならNG位が限界かと思います……
Re: (スコア:0)
> アドレスバーが緑か青ならOK、赤か黄ならNG位が限界かと思います……
たぶんもっと限界は低い。。。
スマホユーザー<アドレスバーってたまにでてくる邪魔なあれのこと?
Re: (スコア:0)
アドレスバーもそうだけど、スマホのブラウザでリンク先のURLが確認しずらいのはほんとにストレスだわ。
URLを確認せずにクリックするように誘導するあのUIは絶対おかしい。
Re: (スコア:0)
> スマホユーザー<アドレスバーってたまにでてくる邪魔なあれのこと?
そういや、シュマホ版のChromeってアドレスバーの常時表示すらできなかったっけ
グーグルがこれだから駄目なんだよ
Re: (スコア:0)
サブジェクトだけじゃ信用できなくないですか?
(それ言ったら100%信用できるのって何?って話になりますが)
証明書の発行会社を見ませんか?
仕事上の経験で、
1.comドメインを取得
取得時にチェックなし。やろうと思えば偽名でも取得可。
確認メールを受信できればいい。
2.取得した.comドメインのSSL証明書取得
.comの情報と同じ情報で取得申請して、postmaster@~
宛の確認メールを受信できれば証明書は発行される。
というのがあったので、こういう発行会社の証明書は信用できないなぁ、
って思った。
Re:一般ユーザーが確認すべきなのは「サブジェクト」 (スコア:2)
私は見ますし、信用しない認証局や信用する認証局がある場合には、認証局名も見た方が良いですが、認証局についての知識がない場合は見ても判断材料にはならないかと思います。認証局名に「DV」「EV」とかが入っているケースでは証明書の種類は判断できますが、認証局名に含まれている保証はなく、また証明書の種類は「サブジェクト」とアドレスバーの色から判断できます。
そのため、フィッシング詐欺対策として重要度が高いのは「サブジェクト」です。
メール以外の認証方法を採用している認証局もあり、DV証明書でも認証局によっては、http://example.com/key に確認コードを設置するとか、WHOISの連絡先のメールアドレスに確認コードを送るといった認証方法の認証局や、複数の方式を選択できる認証局もありますが、postmaster@example.com に確認コードを送るという方式は、DV証明書(ドメイン認証証明書)としては標準的な認証方法ですよ。「こういう発行会社の証明書は信用できない」と考えるのならば、「DV証明書は全部信用できない」と判断するのが良いでしょう。
そういった認証方式の場合、認証局はドメイン名しかチェックしていないので、証明書署名要求 (Certificate Signing Request) の、組織名(O)・市町村名(L)・都道府県名(S) に何を書いても、実際に発行される証明書の「サブジェクト」には O, L, S が掲載されません。
そのため、「サブジェクト」の内容が #3254845 で書いた「サブジェクト」をチェックしてもドメイン名以外の情報が確認できない場合 [srad.jp] のようになるので、認証局名を見ずに「サブジェクト」のみと確認した場合でも、ドメイン名しか認証していない証明書であることは分かります。
ザル。 (スコア:0)
DRMか、DRMに関係するモジュールのブートプロセスなら、もっと真剣にチェックするでしょう?
結局、三文判でしかないんですよ。
大層な判子であったとしても、サーバ側にwebからつつける脆弱性があるか、ローカルにマルウェアがいたらおわり。
経路暗号化程度の意味しかありません。
なんてことを実装に無関心なエントユーザに言ってもしょうがないので、商業上、りっぱな判子を押すんです。
しょうもない判子を押してくる商店からは買わない人もいて当然。それもわかります。
Re: (スコア:0)
ドメインの取得になんのチェックが必要だというんだろうか
金さえ払えば無問題だろ
EVでもない証明書をどんだけ信用してるんだ
ドメイン所有者だと確認出来りゃ十分だろう