パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

EV証明書を使用して既知の企業になりすませる可能性が指摘される」記事へのコメント

  • >EV証明書では厳格な審査が行われるとされ、アドレスバーが緑色に変われば安心ともいわれるが、実際には会社を設立すれば比較的簡単に取得できてしまうという。

    表示の実装方法云々じゃなくて、審査が不十分なのが全ての問題。ここを直さないと他にも問題がボロボロ出てくるし、逆に直せばほぼ全ての問題が解決する。

    --
    しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
    • by Anonymous Coward

      んなわけない
      仮に実装に問題なしとしても(ありえねー)、審査の健全性のみに全て依拠しているって、クソ規格にもほどがあるわ

      • by Anonymous Coward

        んなこたーない。セキュアブートやドライバ署名だって審査に依拠してるし、それは有効に機能する。
        https://cpplover.blogspot.jp/2012/06/blog-post_08.html [blogspot.jp]

        • by Anonymous Coward on 2017年12月17日 16時00分 (#3331212)

          EV証明書は想定される攻撃内容に対して最低の審査基準がザルって事だわな。

          EV証明書は審査したコンテンツのみに署名出来るわけではなく、ドメインと組織の実在性しか審査できない。
          そして、フィッシング詐欺の類の犯人はインターネットを介さない詐欺行為と同じく会社作る位わけがない。
          マルウェアに比べ攻撃の開発コストが安く、ドライバ署名等と違いTLS証明書は発行数が膨大だから紛れるのも簡単。

          親コメント

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...