アカウント名:
パスワード:
専用のエージェントソフトが必要というようなことが書いてあるので、恐らくドメイン認証はそのソフトが行うのだと思いますが、詳しい日本語の解説、どこかにないかな……。
ただ、この方法だと発行団体の実在性確認(登記簿謄本の確認)を行わないと思うので、信頼性に疑問があります。オレオレ証明書と大差ないような。
有名サイトのドメインをちょっと捩ったドメインを取得し、そのドメインの証明書をこのシステムで取得すれば、httpsのフィッシングサイトが容易に作れるのでは。
今まではフィッシングサイトが認証局発行の証明書を使ってhttpsサイトを立ち上げることはまずなかったので、「URLがhttpsで始まっているかどうか」を確認すれば大半のフィッシングサイトを避ける事ができたと思うのですが。
たしかにおっしゃるとおりですけど、今でも格安証明書では登記簿謄本のチェックなんてしていませんね事実上無チェックですフィッシングサイトでも簡単に証明書とれると思います
> 今でも格安証明書では登記簿謄本のチェックなんてしていませんねだから現状でも「実在証明」が要求される案件では使えない。というのは当然の前提として。逆に、「自分が管理しているドメイン」に関して自分が使う分には問題ないだろう。
> フィッシングサイトでも簡単に証明書とれると思いますご自分が直前で書いているとおり、現状でも簡単に取れるので、それを理由に批難しても、それがなにか、としか。
ん?
> > フィッシングサイトでも簡単に証明書とれると思います> ご自分が直前で書いているとおり、現状でも簡単に取れるので、それを理由に批難しても、それがなにか、としか。
直前も何も、(現状でも)フィッシングサイトでも簡単に証明書とれる、と言っているんだと思うが。
えっ現状でも簡単に取れるので、証明書が簡単に取れるという理由での「Let's Encrypt」批判は筋が通らない、という意味じゃないの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
暗号化するのにお金を払わなければならない、という理由はないよね (スコア:2)
この取組ではISRGが正式な証明書発行を利用者に対して無償で行うのだろう。
詳しい審査が行われないので当然、証明書を持つ者や組織の真正性の担保はされない。(企業認証証明書の代わりにはならない)
とはいえ証明書を取ろうとしているのがドメインの所有者であるかは最低でも担保されないと困る。だからその審査を行いつつ、それでも無償でサービスするのだろうか。
つまり、現在は有償で行われているドメイン認証のSSL証明書発行を、無料にしようってことなのかな?
どんな仕組みで実現するのか、ちょっと興味があるかな。
作成した証明書を、whoisで登録されているメールアドレスに送りつける、とかだったら危険なような。
Re: (スコア:0)
専用のエージェントソフトが必要というようなことが
書いてあるので、恐らくドメイン認証はそのソフトが行うのだと
思いますが、詳しい日本語の解説、どこかにないかな……。
ただ、この方法だと発行団体の実在性確認(登記簿謄本の確認)
を行わないと思うので、信頼性に疑問があります。
オレオレ証明書と大差ないような。
有名サイトのドメインをちょっと捩ったドメインを取得し、
そのドメインの証明書をこのシステムで取得すれば、
httpsのフィッシングサイトが容易に作れるのでは。
今まではフィッシングサイトが認証局発行の証明書を使って
httpsサイトを立ち上げることはまずなかったので、
「URLがhttpsで始まっているかどうか」を確認すれば
大半のフィッシングサイトを避ける事ができたと思う
のですが。
Re:暗号化するのにお金を払わなければならない、という理由はないよね (スコア:0)
たしかにおっしゃるとおりですけど、今でも格安証明書では登記簿謄本のチェックなんてしていませんね
事実上無チェックです
フィッシングサイトでも簡単に証明書とれると思います
Re: (スコア:0)
> 今でも格安証明書では登記簿謄本のチェックなんてしていませんね
だから現状でも「実在証明」が要求される案件では使えない。というのは当然の前提として。
逆に、「自分が管理しているドメイン」に関して自分が使う分には問題ないだろう。
> フィッシングサイトでも簡単に証明書とれると思います
ご自分が直前で書いているとおり、現状でも簡単に取れるので、それを理由に批難しても、それがなにか、としか。
Re: (スコア:0)
ん?
> > フィッシングサイトでも簡単に証明書とれると思います
> ご自分が直前で書いているとおり、現状でも簡単に取れるので、それを理由に批難しても、それがなにか、としか。
直前も何も、(現状でも)フィッシングサイトでも簡単に証明書とれる、と言っているんだと思うが。
Re: (スコア:0)
えっ
現状でも簡単に取れるので、証明書が簡単に取れるという理由での「Let's Encrypt」批判は筋が通らない、という意味じゃないの?