パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

NTT西日本、問い合わせサイトのSSLが「オレオレ証明書」」記事へのコメント

  • by Anonymous Coward on 2005年10月23日 21時10分 (#819252)
    フィッシングサイトはベリサインから証明書を取れないの?
    金さえ払えば誰でも取れるって聞いたことがあるんですが。
    何を今更と言われるかも知れないけど。

    #恥ずかしいのでAC
    • by nim (10479) on 2005年10月23日 23時38分 (#819307)
      ベリサインだと登記簿謄本要りますよ。
      # 上場企業だと省略可です。

      ちなみに、証明書が証明しているのは、そのサイトが確かに(例えば)「平成電○」という会社のサイトだということだけで、その「平成電○」自体が信用できるかどうかとは完全に別問題です。
      親コメント
      • by Anonymous Coward on 2005年10月24日 0時18分 (#819334)
        エクスプレスサービスなら、
          - 帝国データバンクに掲載されている
          - 電話で連絡がつく
        の2点をクリアすれば証明書取得できます。
        # あと、お金を払う。

        http://www.verisign.co.jp/server/reg_exp/flow1.html

        証明書取得のきつさ(ゆるさ)は、認証局会社によりまちまちなので、「暮らしの手帖」あたりで検証してもらいたいところ。
        親コメント
        • by Anonymous Coward
          エクスプレスサービスでなくても同じ条件です
          あとgeoTrustだと帝国でなく
          D-U-N-S® Number [dnb.co.jp]とかいうので企業証明してるようです
          • by nisiguti (1286) on 2005年10月25日 15時18分 (#820130)
            >エクスプレスサービスでなくても同じ条件です

            #820116 [srad.jp]と重複しますが、帝国データバンクの企業コード使って認証するようになったのは、2003年7月以降の話だと思います。それまではエキスプレスサービスだけ帝国データバンクを使っていたように思います。

            >あとgeoTrustだと帝国でなく
            >D-U-N-S® Numberとかいうので企業証明してるようです

            GeoTrustではなく、Thawte [thawte.com]がD-U-N-S®Number [dnb.co.jp]を使っていましたが、今では帝国データバンクでも良いみたいですね。

            GeoTrustの場合、申請団体の実在性を正しく確認した上で発行する証明書(トゥルービジネスID、トゥルーサイト)では登記簿謄本+印鑑証明書+実印押印で認証、実在性を確認しないで発行される証明書(クイックSSLプレミアム)では、所定のメールを受取れれば良いようです。
            親コメント
      • 上場企業だと帝国データバンクに登録されていれば
        #ちゃんとベリサインのサイトに書いてある
        • 嘘というのは酷だと思います。

          ベリサインで証明書を申請するためには、2003年6月までは上場企業を除いて登記簿謄本が必要でした。
          帝国データバンクの企業コードを用いて認証する方法に変更されたのは、2003年7月以降の話です。
          親コメント
          • >ベリサインで証明書を申請するためには、2003年6月までは上場企業を除いて登記簿謄本が必要でした。

            そのもっと前は上場企業であっても登記簿謄本が必要でしたよ。
            結局、嘘は嘘ってことです。
            酷でもなんでもありません。
            • 元のコメント [srad.jp]で

              >ベリサインだと登記簿謄本要りますよ。
              ># 上場企業だと省略可です。

              という内容に対して、

              > 上場企業だと帝国データバンクに登録されていれば
              >#ちゃんとベリサインのサイトに書いてある

              というコメントなんですよね。
              上場企業だと大抵は帝国データバンクに登録されているので、上場企業なら登記簿謄本が省略できる事は間違っていません。しかも2年前までは、元コメントの通り上場企業ならば省略できるという条件でした。

              つまり現在の条件に包含される条件を仰っていただけです。
              上場企業以外にも省略できる条件が有ったにしても、上場企業が省略できる事には違いが無いのに、それが嘘なんですか?

              それに厳密な話をしますと、帝国データバンクに登録されていても、その登録内容に不備が有る場合は登記簿謄本が必要になります。上場企業ならばまず登記簿謄本が必要になる事は有りませんが、それ以外の企業ならば帝国データバンクに登録されていても登記簿謄本が必要になる場合が有りますし、それはベリサインのサイトにも明記されています。そういう意味では、

              > 上場企業だと帝国データバンクに登録されていれば
              >#ちゃんとベリサインのサイトに書いてある

              という事も嘘という事になります。

              自らも厳密には正確とは言えない発言をしているのに、相手だけを嘘つき呼ばわりするというのは、私は不誠実だと思います。

              >そのもっと前は上場企業であっても登記簿謄本が必要でしたよ。
              >結局、嘘は嘘ってことです。

              現時点の話をしているのですから、過去の条件と合致しなくても関係が無いと思います。
              親コメント
              • 私がいいかげんな書き方をしたせいですみません。
                みなさん、正確なフォローありがとうございます。

                実は上場企業にいる上に、最近は Betrusted (というか、
                取った時は Baltimore)の証明書しか取ったことないので
                調べ直さずに書いていました。

                ところで、GeoTrust の証明書、実在証明なしに出すのは
                怖いですよね。ユーザは警告ダイアログが出れば反応
                するだろうけど、ルートが誰かまでは普通意識しない
                と思うので、まさに「警告のでない nttwest.jp」
                の証明書が誰でもとれてしまうんじゃないでしょうか。
                親コメント
    • by tnk (13707) on 2005年10月24日 11時45分 (#819496)
      >フィッシングサイトはベリサインから証明書を取れないの?
      >金さえ払えば誰でも取れるって聞いたことがあるんですが。

      上の議論でも出てくるCPSという用語がその疑問に関係しています。

      「どのようにすれば証明書が発行してもらえるか」というような証明機関の運用規則は,CPS(Certification Practice Statement)という文書にまとめてあります。証明機関はCPSを公開することが各種の規格で義務付けられており,ブラウザにルート証明書が同梱されているような証明機関ならば必ず何らかの方法で閲覧できるようになっています。

      Verisignはこちら↓
      http://www.verisign.co.jp/repository/CPS/
      親コメント
    • by Anonymous Coward on 2005年10月24日 18時20分 (#819684)
      組織が実在し、連絡を取れる事を証明できれば、取得できるよ。

      でも、それを匿名で行うにはコストがかかり、
      フィッシングサイトの収益を圧迫できると言うのが重要。
      使い捨てのWEBサイトのために次々と取得するのは厳しいだろうからね。
      親コメント
    • by Anonymous Coward
      証明書って、会員証のようなものなので
      ベリサイン(などなど)に身元を証明する書類を出して、免許証のような住所と名前を書いたものを作ってもらうんです。その証明書はサーバ用なら、ふつうは1つのサーバで使えます。
      ベリサインじゃないところには、だれだかわからなくても書類なしで証明書発行するところもあるんですけどね。
      ドメインの所有者かどうかなんて、確認しないことも多いし、ドメイン自体、名前偽装して登録できるので、人のドメインの証明書とることも比較的簡単。使えるかどうかはまた別の話。
      偽サイトかどうかは、鍵のマーククリックして誰の証明書なのか表示してみるまで、ほんとはわからないんですが、信頼できない認証局だと見てもわからないこともあります。

日々是ハック也 -- あるハードコアバイナリアン

処理中...