パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

日経XTECH曰く「SSL証明書の発行者がLet's Encryptならまず詐欺」」記事へのコメント

  • by Anonymous Coward

    無料だろうが有料だろうが申込者がドメインを操作できること以外は一切確認しない。
    大手の発行したDV証明書なら安全だとか誤解を招くので結構な有害情報。詐欺サイトは超大手のAmazonも多い。

    まぁ、セコムみたいにDV証明書を発行しない所なら一応は安全なのか。

    • by Anonymous Coward

      その悪用サイトの大半が Let's Encrypt だという情報が本当なら、有害とも言えないのでは?
      一般人はDV証明書なんて言われてもピンと来ないし、見分け方も分からないので、「発行元が Let's Encrypt なら個人情報入力するな」、ってのはあながち間違ってないかもしれない。

      少なくとも被害件数は減らせるかと。

      • by Anonymous Coward on 2023年10月09日 17時57分 (#4542663)

        「発行元が Let's Encrypt なら個人情報入力するな」そのものが有害情報とは元コメの人も言ってないよ。
        「発行元が Let's Encrypt じゃなければ安心」という誤解を招くから有害情報 と言ってるんだよ。

        ピンとこない一般人の被害件数を減らしたいだけなら、「個人情報を入力するな」が一番まっとうな助言じゃないかな。

        親コメント
        • by Anonymous Coward

          「発行元が Let's Encrypt じゃなければ安心」とは元記事の人も言ってないよ?

          大手企業で、フィッシングが危惧される手法(メール、メッセージサービス等)を使って、Let's Encryptの証明書のサイトで、何かしら情報を入力させようとするなら詐欺の可能性が高いって事でしょ?
          "Let's Encrypt"を"DV証明書"に変えても良いけど、素人に判別しにくいし、「フィッシング対策協議会によれば、一部の例外を除いて大半のフィッシングサイトでこの証明書が利用されている」というデータがあるなら、分かりやすさを重視しても良いんじゃない?

          利用したい人に対して、全部利用するなは、全部利用しろってのと同じ。

          • by Anonymous Coward

            なんで正規のサイトでLet's Encryptを使っているサイトを利用したいという状況はないという前提なん?

            • by Anonymous Coward

              利用したいかどうかはともかく、もはやデファクトスタンダードでしょうに。

            • by Anonymous Coward

              大手企業で、個人情報入力させるのに、Let's Encrypt使ってるサイトあったら、是非教えてほしい。
              そういう会社は、晒し上げた方が、公共の福祉に適ってると思う。
              少なくとも、個人情報を"大切に扱うつもりが皆無"の会社である事は確実だから。

          • by Anonymous Coward

            命題の逆・裏・対偶の関係が分かってない人はここでも多いのです。
            バグの温床になるので、ソフトエンジニアは論理学の初歩ぐらいは学んでほしいのだけど。

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

処理中...