アカウント名:
パスワード:
DV証明書はドメイン所有者の確認を平文通信のhttpやdnsやwhoisメールアドレスでやるので通信が改ざんされて場合、悪意のある人物がドメイン所有者になりすまして証明書を取得できるので危険電話、Fax、郵送などのインターネット以外の経路を併用して認証するOVやEVの方が安全性が高いスラドはDVなのでLet'sと同レベル
LE の dns-01 は TXT レコードにそのセッション限り有効のワンタイムトークンを登録する。別に whois のメールアドレスは要らない。なのでコンテンツサーバの管理権限がないと不正な証明書取得は難しい。ここら辺、ワイルドカード証明書を自動取得・更新するスクリプト書いていて、よくできてるなと思った。
DNS の通信の安全性ってことなら、LE が使用するキャッシュサーバの問題になるでしょ。コンテンツサーバ乗っ取られてたらもう論外だし、コンテンツサーバと LE キャッシュサーバの間の MITM とか考え出したらきりがない。そういう視点では、LE は取得の仕方にも依るけどヘタな DV 証明書より信頼性あるよ。
この数年の動向を見ると証明書発行機関の信頼性もあるかな.
怪しい発行機関がわんさかあったわけで,企業に金払っていれば安心・長期保証というわけではない.
政府認証基盤よりも,Let's Encrypt のほうが,(ガイドライン上は)国際的に認められているという現実もある.
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
DV証明書はドメイン所有者になりすまして証明書を取得する攻撃を防げない (スコア:0)
DV証明書はドメイン所有者の確認を平文通信のhttpやdnsやwhoisメールアドレスでやるので
通信が改ざんされて場合、悪意のある人物がドメイン所有者になりすまして証明書を取得できるので危険
電話、Fax、郵送などのインターネット以外の経路を併用して認証するOVやEVの方が安全性が高い
スラドはDVなのでLet'sと同レベル
Re: (スコア:0)
LE の dns-01 は TXT レコードにそのセッション限り有効のワンタイムトークンを登録する。
別に whois のメールアドレスは要らない。
なのでコンテンツサーバの管理権限がないと不正な証明書取得は難しい。
ここら辺、ワイルドカード証明書を自動取得・更新するスクリプト書いていて、
よくできてるなと思った。
DNS の通信の安全性ってことなら、LE が使用するキャッシュサーバの問題になるでしょ。
コンテンツサーバ乗っ取られてたらもう論外だし、
コンテンツサーバと LE キャッシュサーバの間の MITM とか考え出したらきりがない。
そういう視点では、LE は取得の仕方にも依るけどヘタな DV 証明書より信頼性あるよ。
Re:DV証明書はドメイン所有者になりすまして証明書を取得する攻撃を防げない (スコア:0)
この数年の動向を見ると証明書発行機関の信頼性もあるかな.
怪しい発行機関がわんさかあったわけで,企業に金払っていれば安心・長期保証というわけではない.
政府認証基盤よりも,Let's Encrypt のほうが,(ガイドライン上は)国際的に認められているという現実もある.