サーバ証明書って (#883903) | 「本物の」サーバ証明書を持つフィッシングサイト

「「本物の」サーバ証明書を持つフィッシングサイト」記事へのコメント

記事ページを表示すべてのコメント取得

検索163コメント Log In/Create an Account

サーバ証明書って (スコア:5, すばらしい洞察)

by docile-jp (16652) on 2006年02月15日 13時34分 (#883903) 日記

サーバ証明書って本来、そのサーバを持つ組織の信頼性を証明するものではないはずなので、発行する側でこれ(フィッシング)を完全に防ぐのは難しいのでは。

--
組織の信頼性をなんらかの方法で証明できるほうがいいとは思うが…
- Re:サーバ証明書って (スコア:0)
  
  by Anonymous Coward
  
  組織の信頼性って、証明できるんだろうか？
  - Re:サーバ証明書って (スコア:1)
    
    by akiraani (24305) on 2006年02月15日 15時13分 (#883975) 日記
    
    　日本の話になっちゃいますが、帝国データバンク [tdb.co.jp]とかはそういう信頼性を調査してると思いますよ？
    ＃ここも認証サービス [tdb.co.jp]やってますね。
    　デジタル認証が電子商取引に使われる以上、企業としての信頼度が必要になるのは当たり前というか、それが必要ないならオレオレ証明書で問題ないし。
    　認証局の仕事って証明書と企業の信頼度の紐つけでしょ。それができてないなら、そんな認証局が初期状態で信頼されてるってのは立派なセキュリティホールだと思うけどね。
    
    --
    しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
    
    シェア
    
    親コメント
    - Re:サーバ証明書って (スコア:2, すばらしい洞察)
      
      by kgw (29702) on 2006年02月15日 15時32分 (#883986)
      
      サーバ証明書について誤解されているようですが、
      それが必要ないならオレオレ証明書で問題ないし。
      オレオレだと通信相手のサーバがURLの指し示している相手かどうかが保証されません。
      たとえば、man-in-the-middle攻撃とか防げませんよ。
      
      シェア
      
      親コメント
      - Re:サーバ証明書って (スコア:1)
        
        by akiraani (24305) on 2006年02月15日 16時17分 (#884023) 日記
        
        　いや、中間者攻撃は通信先を送信者が信頼している場合に問題になるのであって、そもそも通信先が信頼できない今回のケースはそれ以前の問題。
        　通信先までの経路が保障されても通信した先で何してるかわかりません、ってのは通信傍受されてるよりも悪質。
        ＃だから関係ないとは言いませんが、今回のトピックで問題になる話ではないかと
        
        --
        しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
        
        シェア
        
        親コメント
    - Re:サーバ証明書って (スコア:1)
      
      by iida (8060) <reversethis-{pj. ... a} {5891nodilet}> on 2006年02月16日 23時25分 (#884907) ホームページ日記
      
      このページ [tdb.co.jp]には
      TDBサーバ証明書はウェブサイト運営企業の実在性とウェブサイトの本人性を証明するものであり、その企業の信用度や支払能力までも保証するものではありません。
      
      と書いてあるんだが。
      ま、「保証」しないけど、それとは別に「調査」はしてるようだし、原文には「ますよ?」って疑問符は一応ついてるけど…
      それに、「認証局の仕事」は、公開鍵証明書発行と、それに先立つ
      
      サブジェクトが秘密鍵を持っていることの確認
      
      「サブジェクト」と「サブジェクトが主張する名前」の紐付けの妥当性の確認
      
      でしょ。前者はふつう、CSRの署名検証で、後者がいわゆる審査ですね。
      SSLでの信頼性や信頼度は、あくまで「サブジェクト」と「サブジェクトが主張する名前」の紐付けがどれだけ信頼、すなわち論拠にできるか、ってこと。それ以外のこと、たとえば「証明書と企業の信頼度の紐つけ」について、認証局やその証明書を論拠にすることは私にはできませんね。
      
      --
      iida
      
      シェア
      
      親コメント
    - Re:サーバ証明書って (スコア:0)
      
      by Anonymous Coward
      
      >認証局の仕事って証明書と企業の信頼度の紐つけでしょ。
      
      違います。
  - Re:サーバ証明書って (スコア:1)
    
    by Ryo.F (3896) on 2006年02月15日 15時25分 (#883983) 日記
    
    厳密な証明は無理でしょうね。
    それは、PKIじゃなくても、ネット以外でも同じことです。
    ネットを離れた身の回りで、信頼性をどう捉えているでしょう？
    多分、厳密な証明を行っているわけじゃありませんよね。
    それと同じことが、ネット上でも必要ってことでしょう。
    PKIは、信頼性の判断を補強する材料にはなりえます。
    
    シェア
    
    親コメント
  - Re:サーバ証明書って (スコア:0)
    
    by Anonymous Coward
    
    無理な気がする。
    となると、何を証明すれば、文句を言っている人たちは納得するのだろう?実在性?
    
    …でも実在性と信頼性は関係ないよなぁ。
    
    どっかのあやしげな、詐欺商法な会社だって、
    Verisign とかからちゃんと証明書を取得できますよね、
    やろうと思えば。
    - Re:サーバ証明書って (スコア:1)
      
      by Elbereth (17793) on 2006年02月15日 15時10分 (#883973)
      
      >どっかのあやしげな、詐欺商法な会社だって、
      >Verisign とかからちゃんと証明書を取得できますよね、
      >やろうと思えば。
      
      それってライブド(ry
      
      シェア
      
      親コメント
      - Re:サーバ証明書って (スコア:0)
        
        by Anonymous Coward
        
        あれって「実際の商売自体は」詐欺でもなんでもないと思うんですが…。
        # あそこは、それ以外の部分で(略)
        
        そういうのでいいなら、他にも
        
        --
        今の状況って「報道被害」な面もある気がする AC
    - Re:サーバ証明書って (スコア:1, 参考になる)
      
      by Anonymous Coward on 2006年02月15日 18時20分 (#884107)
      
      ベリサインの場合、帝国データバンクに情報がある会社か、
      法務局に登記されている会社なら証明書取得は可能ですね。
      ベリサインはその組織が実在しているかなんて他人任せの
      チェックしかしません。
      実在するか怪しくても発行する可能性があるので、信頼性
      なんて全く関係ありません。
      
      たとえ暴力団の企業舎弟や幽霊会社で犯罪に使われる恐れが
      あっても取れちゃうかもしれません。
      
      逆にまっとうな商売をしていても個人事業では取得できません。
      
      シェア
      
      親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

「本物の」サーバ証明書を持つフィッシングサイト More ログイン

「「本物の」サーバ証明書を持つフィッシングサイト」記事へのコメント

サーバ証明書って (スコア:5, すばらしい洞察)

Re:サーバ証明書って (スコア:0)

Re:サーバ証明書って (スコア:1)

Re:サーバ証明書って (スコア:2, すばらしい洞察)

Re:サーバ証明書って (スコア:1)

Re:サーバ証明書って (スコア:1)

Re:サーバ証明書って (スコア:0)

Re:サーバ証明書って (スコア:1)

Re:サーバ証明書って (スコア:0)

Re:サーバ証明書って (スコア:1)

Re:サーバ証明書って (スコア:0)

Re:サーバ証明書って (スコア:1, 参考になる)

スラド