パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

日経XTECH曰く「SSL証明書の発行者がLet's Encryptならまず詐欺」」記事へのコメント

  • by Anonymous Coward on 2023年10月09日 18時10分 (#4542667)

    ・ドメイン認証のみの証明書
    ・組織認証の証明書
    ・厳格な組織認証の証明書(EV SSL証明書)

    多くのブラウザでは、この3つが容易に区別できるような実装にはなってない

    この3つが容易に区別がつく実装が増えないと、せっかくのEV SSLが役に立たない

    • by Anonymous Coward on 2023年10月09日 19時05分 (#4542689)

      そもそもSSL(TLS)証明書の目的は「通信経路を第三者に傍受・改竄されない」ことなんだよね。
      そんで、通信したい相手との間に、第三者が入ってリレーされたら困るから、証明局も絡むだけで。

      なので「証明書で相手の素性を判断する」こと自体、副次的な用途でしかないから、主目的にするのがおかしいのでは。

      親コメント
    • by Anonymous Coward

      2019年まではEV SSLだとアドレスバー緑にしてたりしたけど、意味ないし、意味があっても逆効果だってんでやめたわけだけどね。
      厳格な組織認証ってco.jpとるのと比べてどれくらいハードル上がるわけ、って気もするけど。
      https://www.nic.ad.jp/sc-sendai/program/iwsc-sendai-d2-5.pdf [nic.ad.jp]

    • by Anonymous Coward

      以前はEV証明書の組織名がアドレスバー先頭に緑色で表示されてたんだけどね。
      現在のChromium系ブラウザは、EV証明書であることを確認する手続きとしては下記デグレ措置?よりも更に一手を要す構成になってしまった。

      参考: https://chromium.googlesource.com/chromium/src/+/HEAD/docs/security/ev... [googlesource.com]

      • by Anonymous Coward on 2023年10月09日 20時22分 (#4542715)

        EV証明書の組織名の表示が案外役に立たないのではないかという理由もいろいろあった。

        https://jovi0608.hatenablog.com/entry/2019/08/12/095854 [hatenablog.com]

        自分が興味深いと思ったのは、アメリカで別の州で同じ名前の法人を設立できる、それで一見同じ組織名のEV証明書を作れるという話。

        親コメント
        • by Anonymous Coward

          日本でも○○(株)、(株)○○とかほぼ同名企業・組織いっぱいあるし、どこでも同じだよ

          • by Anonymous Coward

            別の市町村なら完全に同一の名前で登記できるよね

            • by Anonymous Coward

              とは言っても商標権が絡んでたり有名企業の場合は法務局の判断で却下されるけどね。
              市町村変えた程度で何とかなるなら「Twitter Japan」はとっくに「X Japan」になってる。

        • by Anonymous Coward

          その辺は、日本でもあんまり事情は変わらないかも。
          同じ名前の会社の間違い電話をちょくちょく受けた。

      • by Anonymous Coward

        緑色が安全を誤認する害になっていたので当然だろう。

      • by Anonymous Coward

        昔、急にURLバーのところが緑色になってパソコン乗っ取られたかとびっくりしたわ

    • by Anonymous Coward

      別にEVSSLだろうが詐欺会社なら取れるわけで、なんの意味もない。実在して登記もしている詐欺会社が、
      いつの間にかオフィスも移転して所在不明になっていても気づけないから。

      ホワイトリスト形式で認証サイト以外は全て警告の方がまだいい。

      • by Anonymous Coward

        イーロン:俺が認証マーク作ってやんよ

        と冗談はさておき、某教委からサイト繋がらないエスカレーションがあって確認したところ、
        某有料優良教育コンテンツサイト(結構テレビCMも出してる)がLEだったので弾いていた、ということがありました。
        数ヶ月後のホワイトリスト棚卸しで再確認したところ、そのサイトはEVに移行してました。

        立ち上げ時は取り敢えずEVで、というのも有ると思うので、一概に蹴るのも善し悪しかなと思いました。

    • by Anonymous Coward

      せっかくのEV SSL()
      何年遅れの認識だよ

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...