アカウント名:
パスワード:
シマンテックのドメイン認証SSL "GeoTrust"、2006.02.14 のブログ記事 [cocolog-nifty.com]の危険が10年以上も危ないままなので自浄作用は期待できません。
No! GeoTrust [cocolog-nifty.com]のメソッドで「この証明書の目的をすべて無効にする」にしましょう。無効にするとスラドにもアクセスできなくなるので、この無効にする方法の書き込みは作業前に印刷しておくと安心です(^^;
証明書を削除してしまえば簡単そうですが(^^;、IEの場合Microsoftが突っ込んだルート証明書は、いくら削除しても勝手にどこかから取り戻してくるらしい・・・
ベリサイン=シマンテック=GeoTrust 全部名前は違うけど同一グループ会社こいつがSSLを危険に晒したパイオニア
3万円台で最速2分発行のSSL証明、ジオトラストがキャンペーン実施 [itmedia.co.jp]2006年02月01日 15時54分 UPDATE
2006年にGeoTrustがWHOISのメールアドレスで本人確認して自動でSSL証明発行サービスを開始して、SSLの安全神話が崩壊したそれまでSSLを使ってフィッシング詐欺は一件もなかったのにGeoTrustのせいで詐欺師もSSLを使うようになった
しかも、こんな信頼性の無いWHOISの本人確認方法を特許出願したそりゃ~誰もこんな特許取ってないだろうよ。意味無いから(^^;ってか、どういう範囲で特許出願してるのかわかりませんが、元々ドメイン業者なんかはwhoisに書かれたメールアドレスへメールを送って本人確認するなんて方法はあちこちで使ってる訳で、ただwhoisに書かれたメールアドレスに対して送ったメールに書かれた内容に対してアクションを起こす事で本人確認とするという程度では、何ら新規性は無いんじゃないかなぁ?で、予想通り特許は却下され他社も同様の危険なSSL発行サービスを追従!SSLは紙っ切れになってしまった
このGeoTrustがいなかったら鍵マークを確認するだけでフィッシング詐欺を防げたインターネットが危険になったのはGeoTrustのせい
GeoTrustが登場する前はSSL会社はタウンページ・登記簿謄本で会社確認して、担当者にファックスして意思確認して、秘密鍵はフロッピーディスクに焼いて登記地に書留で送ってたんですSSLの安全モデルを壊して「SSLでも相手が信用できない」という状態になったのは全部GeoTrustのせいです
--
No! GeoTrust [cocolog-nifty.com] - GeoTrust追放の輪を広げよう
GeoTrust以前も世界的には割とユルユルよ別ツリーでOVとEVは大差ないキリッとか言ってるアホいるけど、そんなわけねーw
そもそも「SSLだから」というだけで安全なんてのは仕様上一切担保されていない担保されているのはあくまでドメインの所有者と証明書の所有者が同じってことで、そこから派生してCAが身元まで確認するとしてどこまで確認するんだというのが問題になったからEVってものができたまあ何だかんだでEVもガバいとこあるから、今後もっとルールが厳格化された上位バージョンが来る可能性もあるけど
> 担保されているのはあくまでドメインの所有者と証明書の所有者が同じこれだって別に担保されてはいないのでは?Let's Encrypt なんかだと、ドメイン所有者でない人が勝手に DNS 登録をして正規の証明書を取得できてしまうし。
無理だよ。そもそもルートDNSからそのホスト名を辿れることが前提なんだから。DVを何の略だと思ってるんだ。WoSignがそこでやらかしてえらいことになったわけで。もしや上でDVを赤にしろとか言ってる奴がいるのはそこから勘違いしてるせいか……。
理屈が分からないとしても、もしそんなことが可能なら今頃google.comの偽証明書が世の中に氾濫している(が実際そうなっていない)という想像くらいはしてくれんか。
SSLの基本は、経路が暗号化されていることと、そのホスト名のDNSとWebサーバに権限を持っていること、まで。OVになるとオンライン以外の手段で何らかの連絡を1つしてることが求められるけど、電話番号が1つあればいいレベルなので実にガバ。もしOVとEVを緑にしますとかやったら間違いなくフィッシングは全部OVになると言える。EVはもうちょい厳しいけど他でも言われてる通り登記名被ったらどうすんのとかは考慮されてないから絶対とは言えないね。
フロッピーに焼くって、何だそりゃ?#もちろんCD-Rに焼くならわかる。
FDがライトアットワンスだと思い込んでるエアプ古参の仕業でしょう
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
GeoTrust の証明書をブロックしよう (スコア:0)
シマンテックのドメイン認証SSL "GeoTrust"、2006.02.14 のブログ記事 [cocolog-nifty.com]の危険が10年以上も危ないままなので自浄作用は期待できません。
No! GeoTrust [cocolog-nifty.com]のメソッドで「この証明書の目的をすべて無効にする」にしましょう。
無効にするとスラドにもアクセスできなくなるので、この無効にする方法の書き込みは作業前に印刷しておくと安心です(^^;
証明書を削除してしまえば簡単そうですが(^^;、IEの場合Microsoftが突っ込んだルート証明書は、いくら削除しても勝手にどこかから取り戻してくるらしい・・・
GeoTrustがSSLを危険に晒したパイオニア (スコア:1)
ベリサイン=シマンテック=GeoTrust 全部名前は違うけど同一グループ会社
こいつがSSLを危険に晒したパイオニア
3万円台で最速2分発行のSSL証明、ジオトラストがキャンペーン実施 [itmedia.co.jp]
2006年02月01日 15時54分 UPDATE
2006年にGeoTrustがWHOISのメールアドレスで本人確認して自動でSSL証明発行サービスを開始して、SSLの安全神話が崩壊した
それまでSSLを使ってフィッシング詐欺は一件もなかったのにGeoTrustのせいで詐欺師もSSLを使うようになった
しかも、こんな信頼性の無いWHOISの本人確認方法を特許出願した
そりゃ~誰もこんな特許取ってないだろうよ。意味無いから(^^;
ってか、どういう範囲で特許出願してるのかわかりませんが、元々ドメイン業者なんかはwhoisに書かれたメールアドレスへメールを送って本人確認するなんて方法はあちこちで使ってる訳で、ただwhoisに書かれたメールアドレスに対して送ったメールに書かれた内容に対してアクションを起こす事で本人確認とするという程度では、何ら新規性は無いんじゃないかなぁ?
で、予想通り特許は却下され他社も同様の危険なSSL発行サービスを追従!SSLは紙っ切れになってしまった
このGeoTrustがいなかったら鍵マークを確認するだけでフィッシング詐欺を防げた
インターネットが危険になったのはGeoTrustのせい
No! More! GeoTrust! (スコア:0)
GeoTrustが登場する前はSSL会社はタウンページ・登記簿謄本で会社確認して、担当者にファックスして意思確認して、秘密鍵はフロッピーディスクに焼いて登記地に書留で送ってたんです
SSLの安全モデルを壊して「SSLでも相手が信用できない」という状態になったのは全部GeoTrustのせいです
--
No! GeoTrust [cocolog-nifty.com] - GeoTrust追放の輪を広げよう
Re: (スコア:0)
GeoTrust以前も世界的には割とユルユルよ
別ツリーでOVとEVは大差ないキリッとか言ってるアホいるけど、そんなわけねーw
そもそも「SSLだから」というだけで安全なんてのは仕様上一切担保されていない
担保されているのはあくまでドメインの所有者と証明書の所有者が同じってことで、そこから派生してCAが身元まで確認するとしてどこまで確認するんだというのが問題になったからEVってものができた
まあ何だかんだでEVもガバいとこあるから、今後もっとルールが厳格化された上位バージョンが来る可能性もあるけど
Re: (スコア:0)
> 担保されているのはあくまでドメインの所有者と証明書の所有者が同じ
これだって別に担保されてはいないのでは?
Let's Encrypt なんかだと、ドメイン所有者でない人が勝手に DNS 登録をして
正規の証明書を取得できてしまうし。
Re: (スコア:0)
無理だよ。そもそもルートDNSからそのホスト名を辿れることが前提なんだから。DVを何の略だと思ってるんだ。
WoSignがそこでやらかしてえらいことになったわけで。
もしや上でDVを赤にしろとか言ってる奴がいるのはそこから勘違いしてるせいか……。
理屈が分からないとしても、もしそんなことが可能なら今頃google.comの偽証明書が世の中に氾濫している(が実際そうなっていない)という想像くらいはしてくれんか。
SSLの基本は、経路が暗号化されていることと、そのホスト名のDNSとWebサーバに権限を持っていること、まで。
OVになるとオンライン以外の手段で何らかの連絡を1つしてることが求められるけど、電話番号が1つあればいいレベルなので実にガバ。もしOVとEVを緑にしますとかやったら間違いなくフィッシングは全部OVになると言える。
EVはもうちょい厳しいけど他でも言われてる通り登記名被ったらどうすんのとかは考慮されてないから絶対とは言えないね。
Re: (スコア:0)
フロッピーに焼くって、何だそりゃ?
#もちろんCD-Rに焼くならわかる。
Re: (スコア:0)
FDがライトアットワンスだと思い込んでるエアプ古参の仕業でしょう