パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

日経XTECH曰く「SSL証明書の発行者がLet's Encryptならまず詐欺」」記事へのコメント

  • by Anonymous Coward on 2023年10月09日 17時10分 (#4542655)

    無料だろうが有料だろうが申込者がドメインを操作できること以外は一切確認しない。
    大手の発行したDV証明書なら安全だとか誤解を招くので結構な有害情報。詐欺サイトは超大手のAmazonも多い。

    まぁ、セコムみたいにDV証明書を発行しない所なら一応は安全なのか。

    • by Anonymous Coward

      その悪用サイトの大半が Let's Encrypt だという情報が本当なら、有害とも言えないのでは?
      一般人はDV証明書なんて言われてもピンと来ないし、見分け方も分からないので、「発行元が Let's Encrypt なら個人情報入力するな」、ってのはあながち間違ってないかもしれない。

      少なくとも被害件数は減らせるかと。

      • by Anonymous Coward

        「発行元が Let's Encrypt なら個人情報入力するな」そのものが有害情報とは元コメの人も言ってないよ。
        「発行元が Let's Encrypt じゃなければ安心」という誤解を招くから有害情報 と言ってるんだよ。

        ピンとこない一般人の被害件数を減らしたいだけなら、「個人情報を入力するな」が一番まっとうな助言じゃないかな。

        • by Anonymous Coward

          「発行元が Let's Encrypt じゃなければ安心」とは元記事の人も言ってないよ?

          大手企業で、フィッシングが危惧される手法(メール、メッセージサービス等)を使って、Let's Encryptの証明書のサイトで、何かしら情報を入力させようとするなら詐欺の可能性が高いって事でしょ?
          "Let's Encrypt"を"DV証明書"に変えても良いけど、素人に判別しにくいし、「フィッシング対策協議会によれば、一部の例外を除いて大半のフィッシングサイトでこの証明書が利用されている」というデータがあるなら、分かりやすさを重視しても良いんじゃない?

          利用したい人に対して、全部利用するなは、全部利用しろってのと同じ。

          • by Anonymous Coward

            なんで正規のサイトでLet's Encryptを使っているサイトを利用したいという状況はないという前提なん?

            • by Anonymous Coward

              利用したいかどうかはともかく、もはやデファクトスタンダードでしょうに。

            • by Anonymous Coward

              大手企業で、個人情報入力させるのに、Let's Encrypt使ってるサイトあったら、是非教えてほしい。
              そういう会社は、晒し上げた方が、公共の福祉に適ってると思う。
              少なくとも、個人情報を"大切に扱うつもりが皆無"の会社である事は確実だから。

          • by Anonymous Coward

            命題の逆・裏・対偶の関係が分かってない人はここでも多いのです。
            バグの温床になるので、ソフトエンジニアは論理学の初歩ぐらいは学んでほしいのだけど。

      • by Anonymous Coward

        AmazonやらZero SSLなんかも同様に使われるわけで、片手落ち過ぎて逆に有害。

      • by Anonymous Coward

        LetsEncryptはドメイン所有者がドメインを管理していることしか確認していないだけで、ドメイン所有者が詐欺師かそうでないかはドメインの発行業者にお任せです。
        まあ、お任せとは言っても事後(事件後)しか動かないですけどね。

        振り込め詐欺は携帯電話か050のIP電話から掛けてくるので、携帯電話/IP電話を使ってるやつは詐欺師であると言ってるようなもので、記事を書いた人がとんでもない暴論を述べているのが分かります。

        なお、プリペイド携帯電話の場合は契約者が詐欺師かどうかは判断せずに身元確認だけで売ってるので、LetsEncryptと同じ程度の認証レベルですね。

        050のIP電話番号は、最近は登記簿や代表者の身元確認などが必要なので、OVくらいの認証レベルです。

        • by Anonymous Coward

          そういう他の発行者がそうではないかのような、誤認をさせる発言が、素人を危険に突き落とす。

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...