Re:お金があるならEV証明書にしよう (#3421691) | 上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる

「上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる」記事へのコメント

記事ページを表示すべてのコメント取得

検索62コメント Log In/Create an Account

DV証明書はドメイン所有者になりすまして証明書を取得する攻撃を防げない (スコア:0)

by Anonymous Coward

DV証明書はドメイン所有者の確認を平文通信のhttpやdnsやwhoisメールアドレスでやるので
通信が改ざんされて場合、悪意のある人物がドメイン所有者になりすまして証明書を取得できるので危険
電話、Fax、郵送などのインターネット以外の経路を併用して認証するOVやEVの方が安全性が高い
スラドはDVなのでLet'sと同レベル
- お金があるならEV証明書にしよう (スコア:1)
  
  by Anonymous Coward
  
  一般ユーザ↔webサーバ間のインターネット通信同様、webサーバ↔認証局サーバ間のインターネット通信も改ざんされ得るのでDV証明書は証明書発行プロセス自体が安全ではない
  srad.jp とLet's Encrypt認証局の経路に関わる人（ispの中の人）やdnsに毒入れできる人なら本物ののsrad.jpの証明書を取得できてしまう
  ログは残るから後からrevokeはできるけど金銭を扱うサイトなどで被害が出てからでは後の祭り
  DV証明書は妥協の産物に過ぎないので、お金があるならEV証明書にしよう
  googleやamazonがEVにしないのは、EVだとドメイン名を表示しないSafariのような糞ブラウザに責任がある
  ドメインも確認しないと同名の会社を設立する攻撃に弱くなるからね
  まぁgoogleやamazonはドメイン名自体がブランドだからいずれにしてもEVは使いたくないかもしれないけど
  - Re:お金があるならEV証明書にしよう (スコア:1)
    
    by Anonymous Coward on 2018年06月08日 8時52分 (#3421691)
    
    それをいったらEVも証明書発行プロセスに関わる人もできちゃうじゃんね。
    それって、どんなセキュリティもrootのパスワードが脆弱なら意味が無いし
    物理的にサーバにアクセスできるなら何もかも無駄、みたいな議論じゃねえの。
    EV証明書の本質はそこじゃ無いと思うけど。
    
    シェア
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      > それをいったらEVも証明書発行プロセスに関わる人もできちゃうじゃんね。
      それはそうだけど、発行プロセスに関わる人でなくても、「物理的にサーバにアクセス」できなくても、
      通信経路のデータを改竄できる人（通信を中継する電気通信事業者・ISPを含む）ならば不正な証明書発行ができてしまうので問題
      そして、通信経路のデータ改竄が有り得ないならば、そもそも https の必要性が大幅に減るという皮肉な状況になっている
      ACMEだと http://example.com/.well-known/acme-challenge/ [example.com] 内に指定されたトークンを配置することで example.com 所有者と認定するの
      だから

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる More ログイン

「上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる」記事へのコメント

DV証明書はドメイン所有者になりすまして証明書を取得する攻撃を防げない (スコア:0)

お金があるならEV証明書にしよう (スコア:1)

Re:お金があるならEV証明書にしよう (スコア:1)

Re: (スコア:0)