アカウント名:
パスワード:
「SSLだから安心」とか謳ってるマーケティングが存在する以上、SSLは一定の信頼(というか誤解)を招きやすい状況だけど、Let's Encryptに代表されるDV証明書は相手先の存在まで認証しているわけじゃないことが明確になるべきだと思う。
そういう点ではDVとOVは決定的な違いがあるのに、どちらも見た目では区別が出来ないのが詐欺師支援環境と化している。
# まぁ、EV取れって話もあるけど、EVほど手間とコストをかける必要はないが実在証明くらいは必要ってパターンは多い。
証明書を見ればDVとOVはすぐに区別が付くのですが、そういう話ではないのですよね。実際のところ、OVの基準で「詐欺師ではない」と分かるものなのでしょうか。カリフォルニア州サンフランシスコが所在地ではないStripe Inc.に発行された証明書をすぐに見破れる自信がありません。
「証明書を見れば」ってのは現実的な解じゃないよ。手順が多すぎるので一般人は見ないし、一部のブラウザでは見る手段すらない。
OVの価値は「相手が自分の認知している相手」ってことを保証する手段なので、たとえば「O = MUFG Bank, Ltd.」がSubjectに記載されている証明書を持ってるサイトの運営者は三菱UFJ銀行以外の誰でもありえないということになる。同名企業まで心配するなら国と地域を見ればいいが、ここまでの有名企業では世界中のどこでも第三者は登記できない。
一方、Stripe Incなんて知らないし、知らない企業を信用する必要もない。詐欺師であってもなくても、どちらにせよ取引相手になりえない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
そろそろDVとOVが区別できるようにすべき (スコア:0)
「SSLだから安心」とか謳ってるマーケティングが存在する以上、SSLは一定の信頼(というか誤解)を招きやすい状況だけど、
Let's Encryptに代表されるDV証明書は相手先の存在まで認証しているわけじゃないことが明確になるべきだと思う。
そういう点ではDVとOVは決定的な違いがあるのに、どちらも見た目では区別が出来ないのが詐欺師支援環境と化している。
# まぁ、EV取れって話もあるけど、EVほど手間とコストをかける必要はないが実在証明くらいは必要ってパターンは多い。
Re: (スコア:0)
証明書を見ればDVとOVはすぐに区別が付くのですが、そういう話ではないのですよね。
実際のところ、OVの基準で「詐欺師ではない」と分かるものなのでしょうか。
カリフォルニア州サンフランシスコが所在地ではないStripe Inc.に発行された証明書をすぐに見破れる自信がありません。
Re:そろそろDVとOVが区別できるようにすべき (スコア:0)
「証明書を見れば」ってのは現実的な解じゃないよ。
手順が多すぎるので一般人は見ないし、一部のブラウザでは見る手段すらない。
OVの価値は「相手が自分の認知している相手」ってことを保証する手段なので、
たとえば「O = MUFG Bank, Ltd.」がSubjectに記載されている証明書を持ってる
サイトの運営者は三菱UFJ銀行以外の誰でもありえないということになる。
同名企業まで心配するなら国と地域を見ればいいが、ここまでの有名企業では
世界中のどこでも第三者は登記できない。
一方、Stripe Incなんて知らないし、知らない企業を信用する必要もない。
詐欺師であってもなくても、どちらにせよ取引相手になりえない。