アカウント名:
パスワード:
DV証明書はドメイン所有者の確認を平文通信のhttpやdnsやwhoisメールアドレスでやるので通信が改ざんされて場合、悪意のある人物がドメイン所有者になりすまして証明書を取得できるので危険電話、Fax、郵送などのインターネット以外の経路を併用して認証するOVやEVの方が安全性が高いスラドはDVなのでLet'sと同レベル
一般ユーザ↔webサーバ間のインターネット通信同様、webサーバ↔認証局サーバ間のインターネット通信も改ざんされ得るのでDV証明書は証明書発行プロセス自体が安全ではないsrad.jp とLet's Encrypt認証局の経路に関わる人(ispの中の人)やdnsに毒入れできる人なら本物ののsrad.jpの証明書を取得できてしまうログは残るから後からrevokeはできるけど金銭を扱うサイトなどで被害が出てからでは後の祭り
DV証明書は妥協の産物に過ぎないので、お金があるならEV証明書にしようgoogleやamazonがEVにしないのは、EVだとドメイン名を表示しないSafariのような糞ブラウザに責任があるドメインも確認しないと同名の会社を設立する攻撃に弱くなるからねまぁgoogleやamazonはドメイン名自体がブランドだからいずれにしてもEVは使いたくないかもしれないけど
それをいったらEVも証明書発行プロセスに関わる人もできちゃうじゃんね。
それって、どんなセキュリティもrootのパスワードが脆弱なら意味が無いし物理的にサーバにアクセスできるなら何もかも無駄、みたいな議論じゃねえの。
EV証明書の本質はそこじゃ無いと思うけど。
> それをいったらEVも証明書発行プロセスに関わる人もできちゃうじゃんね。
それはそうだけど、発行プロセスに関わる人でなくても、「物理的にサーバにアクセス」できなくても、通信経路のデータを改竄できる人(通信を中継する電気通信事業者・ISPを含む)ならば不正な証明書発行ができてしまうので問題
そして、通信経路のデータ改竄が有り得ないならば、そもそも https の必要性が大幅に減るという皮肉な状況になっている
ACMEだと http://example.com/.well-known/acme-challenge/ [example.com] 内に指定されたトークンを配置することで example.com 所有者と認定するのだから
うちの会社でも最近Let's Encryptを使い始めました。
管理者になぜLet's Encryptにしたのか聞いたところhttps化の売り込み営業がうるさいからとの事。だから暗号化とか実在性とかはあまり考えてないみたい。検索順位は気にしてたみたいけど。
まあ組織が違えば目的も違うって事で。
別にDVならどの認証局でも変わらんよぼったくり価格でDVを買うのは情弱だよ
comodoのdv使って「スラドですらちゃんと買っているのに 部門より」と言ってるhylomは、ただの情弱の馬鹿価格じゃなくて認証レベル(DV, OV, EV)で判断しよう
勤めている会社はどうかなと見たら、平文だった。まあ、困るような会社ではないのは確かだが。
そういえば今度、プライバシーマーク取るらしいが、WebページがHTTPSであること、って要件はないんだろうか。まあ、Webページが改ざんされても、個人情報が洩れるわけではないが、問い合わせ先が改ざんされたら、まずい気がする。
信頼できない証明書の警告を無視しろという案内がまかり通ってる世の中だと、アクセス数(ユニークユーザ数)の少ないところは、なりすまされても閲覧者がしばらく気づかず発覚しなかったりして。
最低限問い合わせページがHTTPSであることは要求されますよ。#でもサイト全体がHTTPSでなくても許される。良いのか。
問い合わせページに代表電話番号が記載されているだけの可能性問い合わせページに代表FAX番号が記載されているだけの可能性問い合わせページに代表メールアドレスが記載されているだけの可能性
HTTPSが要求されるのは、フォームが用意されている場合だけですね。
LE の dns-01 は TXT レコードにそのセッション限り有効のワンタイムトークンを登録する。別に whois のメールアドレスは要らない。なのでコンテンツサーバの管理権限がないと不正な証明書取得は難しい。ここら辺、ワイルドカード証明書を自動取得・更新するスクリプト書いていて、よくできてるなと思った。
DNS の通信の安全性ってことなら、LE が使用するキャッシュサーバの問題になるでしょ。コンテンツサーバ乗っ取られてたらもう論外だし、コンテンツサーバと LE キャッシュサーバの間の MITM とか考え出したらきりがない。そういう視点では、LE は取得の仕方にも依るけどヘタな DV 証明書より信頼性あるよ。
この数年の動向を見ると証明書発行機関の信頼性もあるかな.
怪しい発行機関がわんさかあったわけで,企業に金払っていれば安心・長期保証というわけではない.
政府認証基盤よりも,Let's Encrypt のほうが,(ガイドライン上は)国際的に認められているという現実もある.
以前、地方自治体のWebサイトに "NEC Corporation"という名前でEV証明書が発行されていた事もあるので、EVだからと手放しで安全とは言い切れない。
無理にEV証明書にしなくとも、商品名.jp みたいなドメインを乱立しないで、サブドメインを活用したDV証明書を使ってくれた方がありがたい。
EVで証明できるのはなりすましではないことだけなりすましが他に存在することは全く防げない
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
DV証明書はドメイン所有者になりすまして証明書を取得する攻撃を防げない (スコア:0)
DV証明書はドメイン所有者の確認を平文通信のhttpやdnsやwhoisメールアドレスでやるので
通信が改ざんされて場合、悪意のある人物がドメイン所有者になりすまして証明書を取得できるので危険
電話、Fax、郵送などのインターネット以外の経路を併用して認証するOVやEVの方が安全性が高い
スラドはDVなのでLet'sと同レベル
お金があるならEV証明書にしよう (スコア:1)
一般ユーザ↔webサーバ間のインターネット通信同様、webサーバ↔認証局サーバ間のインターネット通信も改ざんされ得るのでDV証明書は証明書発行プロセス自体が安全ではない
srad.jp とLet's Encrypt認証局の経路に関わる人(ispの中の人)やdnsに毒入れできる人なら本物ののsrad.jpの証明書を取得できてしまう
ログは残るから後からrevokeはできるけど金銭を扱うサイトなどで被害が出てからでは後の祭り
DV証明書は妥協の産物に過ぎないので、お金があるならEV証明書にしよう
googleやamazonがEVにしないのは、EVだとドメイン名を表示しないSafariのような糞ブラウザに責任がある
ドメインも確認しないと同名の会社を設立する攻撃に弱くなるからね
まぁgoogleやamazonはドメイン名自体がブランドだからいずれにしてもEVは使いたくないかもしれないけど
Re:お金があるならEV証明書にしよう (スコア:1)
それをいったらEVも証明書発行プロセスに関わる人もできちゃうじゃんね。
それって、どんなセキュリティもrootのパスワードが脆弱なら意味が無いし
物理的にサーバにアクセスできるなら何もかも無駄、みたいな議論じゃねえの。
EV証明書の本質はそこじゃ無いと思うけど。
Re: (スコア:0)
> それをいったらEVも証明書発行プロセスに関わる人もできちゃうじゃんね。
それはそうだけど、発行プロセスに関わる人でなくても、「物理的にサーバにアクセス」できなくても、
通信経路のデータを改竄できる人(通信を中継する電気通信事業者・ISPを含む)ならば不正な証明書発行ができてしまうので問題
そして、通信経路のデータ改竄が有り得ないならば、そもそも https の必要性が大幅に減るという皮肉な状況になっている
ACMEだと http://example.com/.well-known/acme-challenge/ [example.com] 内に指定されたトークンを配置することで example.com 所有者と認定するの
だから
Re: (スコア:0)
うちの会社でも最近Let's Encryptを使い始めました。
管理者になぜLet's Encryptにしたのか聞いたところhttps化の売り込み営業が
うるさいからとの事。だから暗号化とか実在性とかはあまり考えてないみたい。
検索順位は気にしてたみたいけど。
まあ組織が違えば目的も違うって事で。
Re: (スコア:0)
別にDVならどの認証局でも変わらんよ
ぼったくり価格でDVを買うのは情弱だよ
comodoのdv使って「スラドですらちゃんと買っているのに 部門より」と言ってるhylomは、ただの情弱の馬鹿
価格じゃなくて認証レベル(DV, OV, EV)で判断しよう
Re: (スコア:0)
勤めている会社はどうかなと見たら、平文だった。
まあ、困るような会社ではないのは確かだが。
そういえば今度、プライバシーマーク取るらしいが、WebページがHTTPSであること、って要件はないんだろうか。
まあ、Webページが改ざんされても、個人情報が洩れるわけではないが、問い合わせ先が改ざんされたら、まずい気がする。
Re: (スコア:0)
信頼できない証明書の警告を無視しろという案内がまかり通ってる世の中だと、
アクセス数(ユニークユーザ数)の少ないところは、なりすまされても閲覧者がしばらく気づかず発覚しなかったりして。
Re: (スコア:0)
最低限問い合わせページがHTTPSであることは要求されますよ。
#でもサイト全体がHTTPSでなくても許される。良いのか。
Re: (スコア:0)
問い合わせページに代表電話番号が記載されているだけの可能性
問い合わせページに代表FAX番号が記載されているだけの可能性
問い合わせページに代表メールアドレスが記載されているだけの可能性
HTTPSが要求されるのは、フォームが用意されている場合だけですね。
Re: (スコア:0)
LE の dns-01 は TXT レコードにそのセッション限り有効のワンタイムトークンを登録する。
別に whois のメールアドレスは要らない。
なのでコンテンツサーバの管理権限がないと不正な証明書取得は難しい。
ここら辺、ワイルドカード証明書を自動取得・更新するスクリプト書いていて、
よくできてるなと思った。
DNS の通信の安全性ってことなら、LE が使用するキャッシュサーバの問題になるでしょ。
コンテンツサーバ乗っ取られてたらもう論外だし、
コンテンツサーバと LE キャッシュサーバの間の MITM とか考え出したらきりがない。
そういう視点では、LE は取得の仕方にも依るけどヘタな DV 証明書より信頼性あるよ。
Re: (スコア:0)
この数年の動向を見ると証明書発行機関の信頼性もあるかな.
怪しい発行機関がわんさかあったわけで,企業に金払っていれば安心・長期保証というわけではない.
政府認証基盤よりも,Let's Encrypt のほうが,(ガイドライン上は)国際的に認められているという現実もある.
Re: (スコア:0)
以前、地方自治体のWebサイトに "NEC Corporation"という名前で
EV証明書が発行されていた事もあるので、EVだからと手放しで安全とは言い切れない。
無理にEV証明書にしなくとも、
商品名.jp みたいなドメインを乱立しないで、
サブドメインを活用したDV証明書を使ってくれた方がありがたい。
Re: (スコア:0)
EVで証明できるのはなりすましではないことだけ
なりすましが他に存在することは全く防げない