アカウント名:
パスワード:
「SSLだから安心」とか謳ってるマーケティングが存在する以上、SSLは一定の信頼(というか誤解)を招きやすい状況だけど、Let's Encryptに代表されるDV証明書は相手先の存在まで認証しているわけじゃないことが明確になるべきだと思う。
そういう点ではDVとOVは決定的な違いがあるのに、どちらも見た目では区別が出来ないのが詐欺師支援環境と化している。
# まぁ、EV取れって話もあるけど、EVほど手間とコストをかける必要はないが実在証明くらいは必要ってパターンは多い。
OVに意味はない。EVをより高く売りつけたい証明書屋に騙されているだけ。だから「EV取れ」としか言いようがない
そうそう。DVとEVだけでいい。OVなんて虚構
>EVをより高く売りつけたいんじゃなくて、DVが安くで出てきたがOVの値段を下げたくないだけでは。
会社情報と申請者の申告以外の経路からの「電話確認」は、それだけで十分な意味が存在するだろ。偽装しようと思ったら法人登記と私書箱くらいは必要になるから、中国人が日本人を騙そうと思っても簡単にはできない。
だからEV取れよってんだろ
Amazonで毎日何万ものノンブランドか転売の怪しい中国の商品が売れてんのに?騙されすぎだろ
ていうか、こういうめんどくさい区分自体無くしてしまった方がいいんじゃないの?ただのランク付けで金儲けしたいだけでしょ。
こういう勘違いをする人のためにも、明確にした方が良いと思うね。
相手先の存在まで認証しているわけじゃないってどういうことですか?ѕrad.jpとhttpsでつながってたら、ѕrad.jpから来てることは信用していいんでしょ?
ただ、images.srad.jpはTLS1.0オンリーだから安全なコンテツかどうかは不明。って、コメントが最近有ったような…。# どこで見かけたか思い出せないのでAC
その「srad.jp」をどこのどいつが運営してるのかは誰にも分からん。
# まぁ、srad.jpに限った話ならwhoisでOSDN株式会社って情報が引けるんだけどね。# だがwhoisの情報はまともに登録していない企業も多い。
「srad.jp」じゃなくて「ѕrad.jp」ですよ。# くだらなすぎて気づかれなかった。
sが環境依存文字になっているのでそこが違うんでしょうが、少なくとも私の環境では見ため同じに見えるので、言われて調べるまで気付きませんでしたよ
元コメは「当該ドメイン(サーバー)を管理している組織」の「法的な実在性」について言及しているんだと思うよ。Let's Encrypt発行の証明書はDV証明書(ドメイン認証)なので管理組織の法的実在性は担保されない。
OV証明書であれば管理組織の法的実在性が担保される。EV証明書であれば管理組織の法的実在性に加えて、厳格な運営体制/管理体制を備えた組織であることが担保される。
民間企業に移管されてもう10年になるのですがhttps://www.nic.ad.jp/ja/dom/ikan.html [nic.ad.jp]
JPNICだって別に国の機関じゃなかったし、JPRSだって co.jp の法的実在性くらいはチェックしてるので、「https://~.co.jp/ については OV 証明書はまあ不要」って結論は変わらないような?OV 証明書を発行してるのも民間の認証機関なわけで、JPRS よりも信頼できるってわけじゃないですよ。というか有象無象の認証機関もわるので JPRS より信用できないところでも OV 証明書を発行している。EV の方は勿論それなりの意味がありますが。
実際のところco.jpに限れば信頼性は高いと思うが、企業がco.jp使うケースは少ないんだよな・・・維持費の高さと手続きの煩雑さ(裏を返せば信頼性)のせいだと思うんだが、そこはOVもEVも似たような話なので、結局「co.jpはなんとなくイケてない」ってところなんだろうか。
co.jp でも中国の企業が運営していることがあるからな
http://nlab.itmedia.co.jp/nl/articles/1804/12/news119.html [itmedia.co.jp]> 裁判ではその他、ゲーム公式サイト(kof98.ourpalm.co.jp)などでも使われている「ourpalm.co.jp」のドメインを「OURPALM株式会社」が取得していた件についても追求されていましたが、石渡氏はこれについて“中国法人からの個人的な依頼を受け、佐々木氏が代理で取得したもの”と説明
srad.jpの方から来ました!
# またまた御冗談を
証明書を見ればDVとOVはすぐに区別が付くのですが、そういう話ではないのですよね。実際のところ、OVの基準で「詐欺師ではない」と分かるものなのでしょうか。カリフォルニア州サンフランシスコが所在地ではないStripe Inc.に発行された証明書をすぐに見破れる自信がありません。
「証明書を見れば」ってのは現実的な解じゃないよ。手順が多すぎるので一般人は見ないし、一部のブラウザでは見る手段すらない。
OVの価値は「相手が自分の認知している相手」ってことを保証する手段なので、たとえば「O = MUFG Bank, Ltd.」がSubjectに記載されている証明書を持ってるサイトの運営者は三菱UFJ銀行以外の誰でもありえないということになる。同名企業まで心配するなら国と地域を見ればいいが、ここまでの有名企業では世界中のどこでも第三者は登記できない。
一方、Stripe Incなんて知らないし、知らない企業を信用する必要もない。詐欺師であってもなくても、どちらにせよ取引相手になりえない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
そろそろDVとOVが区別できるようにすべき (スコア:0)
「SSLだから安心」とか謳ってるマーケティングが存在する以上、SSLは一定の信頼(というか誤解)を招きやすい状況だけど、
Let's Encryptに代表されるDV証明書は相手先の存在まで認証しているわけじゃないことが明確になるべきだと思う。
そういう点ではDVとOVは決定的な違いがあるのに、どちらも見た目では区別が出来ないのが詐欺師支援環境と化している。
# まぁ、EV取れって話もあるけど、EVほど手間とコストをかける必要はないが実在証明くらいは必要ってパターンは多い。
Re: (スコア:0, 既出)
OVに意味はない。EVをより高く売りつけたい証明書屋に騙されているだけ。だから「EV取れ」としか言いようがない
Re:そろそろDVとOVが区別できるようにすべき (スコア:1)
そうそう。DVとEVだけでいい。OVなんて虚構
Re: (スコア:0)
>EVをより高く売りつけたい
んじゃなくて、DVが安くで出てきたがOVの値段を下げたくないだけでは。
Re: (スコア:0)
会社情報と申請者の申告以外の経路からの「電話確認」は、それだけで十分な意味が存在するだろ。
偽装しようと思ったら法人登記と私書箱くらいは必要になるから、中国人が日本人を騙そうと思っても簡単にはできない。
Re:そろそろDVとOVが区別できるようにすべき (スコア:2, すばらしい洞察)
だからEV取れよってんだろ
Re: (スコア:0)
Amazonで毎日何万ものノンブランドか転売の怪しい中国の商品が売れてんのに?
騙されすぎだろ
Re: (スコア:0)
ていうか、こういうめんどくさい区分自体無くしてしまった方がいいんじゃないの?
ただのランク付けで金儲けしたいだけでしょ。
Re:そろそろDVとOVが区別できるようにすべき (スコア:1)
こういう勘違いをする人のためにも、明確にした方が良いと思うね。
Re: (スコア:0)
相手先の存在まで認証しているわけじゃないってどういうことですか?
ѕrad.jpとhttpsでつながってたら、ѕrad.jpから来てることは信用していいんでしょ?
Re: (スコア:0)
ただ、images.srad.jpはTLS1.0オンリーだから安全なコンテツかどうかは不明。
って、コメントが最近有ったような…。
# どこで見かけたか思い出せないのでAC
Re: (スコア:0)
その「srad.jp」をどこのどいつが運営してるのかは誰にも分からん。
# まぁ、srad.jpに限った話ならwhoisでOSDN株式会社って情報が引けるんだけどね。
# だがwhoisの情報はまともに登録していない企業も多い。
Re: (スコア:0)
「srad.jp」じゃなくて「ѕrad.jp」ですよ。
# くだらなすぎて気づかれなかった。
Re: (スコア:0)
sが環境依存文字になっているのでそこが違うんでしょうが、少なくとも私の環境では見ため同じに見えるので、言われて調べるまで気付きませんでしたよ
Re: (スコア:0)
元コメは「当該ドメイン(サーバー)を管理している組織」の「法的な実在性」について言及しているんだと思うよ。
Let's Encrypt発行の証明書はDV証明書(ドメイン認証)なので管理組織の法的実在性は担保されない。
OV証明書であれば管理組織の法的実在性が担保される。
EV証明書であれば管理組織の法的実在性に加えて、厳格な運営体制/管理体制を備えた組織であることが担保される。
Re: (スコア:0)
どこの馬の骨とも知れない証明局に担保してもらわなくても結構です
Re: (スコア:0)
民間企業に移管されてもう10年になるのですが
https://www.nic.ad.jp/ja/dom/ikan.html [nic.ad.jp]
Re: (スコア:0)
JPNICだって別に国の機関じゃなかったし、
JPRSだって co.jp の法的実在性くらいはチェックしてるので、
「https://~.co.jp/ については OV 証明書はまあ不要」って結論は変わらないような?
OV 証明書を発行してるのも民間の認証機関なわけで、JPRS よりも信頼できるってわけじゃないですよ。
というか有象無象の認証機関もわるので JPRS より信用できないところでも OV 証明書を発行している。
EV の方は勿論それなりの意味がありますが。
Re: (スコア:0)
実際のところco.jpに限れば信頼性は高いと思うが、企業がco.jp使うケースは少ないんだよな・・・
維持費の高さと手続きの煩雑さ(裏を返せば信頼性)のせいだと思うんだが、そこはOVもEVも似たような話なので、
結局「co.jpはなんとなくイケてない」ってところなんだろうか。
Re: (スコア:0)
co.jp でも中国の企業が運営していることがあるからな
http://nlab.itmedia.co.jp/nl/articles/1804/12/news119.html [itmedia.co.jp]
> 裁判ではその他、ゲーム公式サイト(kof98.ourpalm.co.jp)などでも使われている「ourpalm.co.jp」のドメインを「OURPALM株式会社」が取得していた件についても追求されていましたが、石渡氏はこれについて“中国法人からの個人的な依頼を受け、佐々木氏が代理で取得したもの”と説明
Re: (スコア:0)
srad.jpの方から来ました!
# またまた御冗談を
Re: (スコア:0)
証明書を見ればDVとOVはすぐに区別が付くのですが、そういう話ではないのですよね。
実際のところ、OVの基準で「詐欺師ではない」と分かるものなのでしょうか。
カリフォルニア州サンフランシスコが所在地ではないStripe Inc.に発行された証明書をすぐに見破れる自信がありません。
Re: (スコア:0)
「証明書を見れば」ってのは現実的な解じゃないよ。
手順が多すぎるので一般人は見ないし、一部のブラウザでは見る手段すらない。
OVの価値は「相手が自分の認知している相手」ってことを保証する手段なので、
たとえば「O = MUFG Bank, Ltd.」がSubjectに記載されている証明書を持ってる
サイトの運営者は三菱UFJ銀行以外の誰でもありえないということになる。
同名企業まで心配するなら国と地域を見ればいいが、ここまでの有名企業では
世界中のどこでも第三者は登記できない。
一方、Stripe Incなんて知らないし、知らない企業を信用する必要もない。
詐欺師であってもなくても、どちらにせよ取引相手になりえない。