パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

日経XTECH曰く「SSL証明書の発行者がLet's Encryptならまず詐欺」」記事へのコメント

  • by Anonymous Coward

    DV証明書しか用意出来ないような企業を利用するなってのは、大半の人にとっては正しいと思いますけれども。
    利益を目的としてWEBサイトを運営するなら、相手に信用される様に努力するのは、商習慣としてはMUSTですよね。
    ホワイトハウスが一般営利企業(.gov以外等)だったら、やっぱり信用してはいけないと思います。

    この記事文脈において「LE使ってるのは詐欺サイトだ」というのは、フィッシングが疑われるメール内での事というのは自明だと思うのですが、
    どうして「LE使ってるサイト全部詐欺サイト」という風に受け取られたんでしょうね。

    そもそもLEを使うつもりなら、誰かにサイト偽装されるリスクを考える必要があるので、適切な範囲で使うのは当たり前ですし、一般人にとっては真正性が気になる場合は、絶対に避けるべき証明書っていうのは事実でしょう。

    • by Anonymous Coward on 2023年10月10日 11時00分 (#4542899)

      「特殊詐欺は携帯電話を使ってかけてくるが、飛ばしで携帯電話を入手しているため080か070が多い。よって、080/070から掛けてくる相手は詐欺である」

      これは、一般人相手に言って正しいだろうか。
      私は一般人相手だからこそ、正しく説明しなくてはならないと思う。
      それと同じだ。

      DVとEVの違いなんて一般人は分からないだろうし、以前のブラウザはURL欄がグリーンになって分かりやすかったんだけど、今はDVかEVか判別しにくくなった。
      理由は分からない。なんで?

      それはさておき、説明するとしたら、こんな感じだろうか。

      DVはサーバとの通信が暗号化されているだけで、サーバ管理者の実在・正体の確認は別手段が必要。
      電話、住所などからGoogleMapを使うなど、実在性を確認する。
      なお、.co.jpならば会社の存在確認はある程度実施済みでドメインは発行されてる。

      OVは、DVの機能に加えて登記簿などで組織の実在確認がされているもの。

      EVは、OVに加えて、企業の信用調査みたいなところまで行われたもの。
      クレジットカード情報を入力したり、ネットバンクならばEVは必須。
      EVではないサイトにこれらの金融情報を入力してはならない。

      実際に詐欺師がDVを使うことは多いが、詐欺師にドメインをすぐ発行してるレジストリ・レジストラには傾向がある。
      .cnなレジストリ・レジストラならほぼ詐欺師と考えていいし、国内でもあそこの会社管理のドメインには詐欺師が多いってところはある。

      考えてみると、DV/OV/EVの信頼性も大事だけど、ドメインの発行元やccTLDの所属や種類も重要な判断基準だね。

      親コメント
      • by Anonymous Coward on 2023年10月10日 15時47分 (#4543074)
        > 今はDVかEVか判別しにくくなった。理由は分からない。なんで?

        審査の緩い国や税金の安い国で法人を作ることで、"Amazon Inc." と名乗るEV証明書を取れてしまったり、"Anazon Inc." と名乗るEV証明書を取れてしまったり、はたまた "MS Support Center" を名乗るEV証明書を使ってMicrosoftを装う、といった事例が多発したため。

        EV証明書の名義は信用ならない→ブラックリストで排除した方がマシとされて、名義の表示やEVの表示を表立ってしなくなった。
        親コメント

アレゲは一日にしてならず -- アレゲ見習い

処理中...