アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
んー疑問を一つ (スコア:0)
金さえ払えば誰でも取れるって聞いたことがあるんですが。
何を今更と言われるかも知れないけど。
#恥ずかしいのでAC
Re:んー疑問を一つ (スコア:2, 参考になる)
# 上場企業だと省略可です。
ちなみに、証明書が証明しているのは、そのサイトが確かに(例えば)「平成電○」という会社のサイトだということだけで、その「平成電○」自体が信用できるかどうかとは完全に別問題です。
Re:んー疑問を一つ (スコア:1, 参考になる)
- 帝国データバンクに掲載されている
- 電話で連絡がつく
の2点をクリアすれば証明書取得できます。
# あと、お金を払う。
http://www.verisign.co.jp/server/reg_exp/flow1.html
証明書取得のきつさ(ゆるさ)は、認証局会社によりまちまちなので、「暮らしの手帖」あたりで検証してもらいたいところ。
Re:んー疑問を一つ (スコア:0)
あとgeoTrustだと帝国でなく
D-U-N-S® Number [dnb.co.jp]とかいうので企業証明してるようです
Re:んー疑問を一つ (スコア:1)
#820116 [srad.jp]と重複しますが、帝国データバンクの企業コード使って認証するようになったのは、2003年7月以降の話だと思います。それまではエキスプレスサービスだけ帝国データバンクを使っていたように思います。
>あとgeoTrustだと帝国でなく
>D-U-N-S® Numberとかいうので企業証明してるようです
GeoTrustではなく、Thawte [thawte.com]がD-U-N-S®Number [dnb.co.jp]を使っていましたが、今では帝国データバンクでも良いみたいですね。
GeoTrustの場合、申請団体の実在性を正しく確認した上で発行する証明書(トゥルービジネスID、トゥルーサイト)では登記簿謄本+印鑑証明書+実印押印で認証、実在性を確認しないで発行される証明書(クイックSSLプレミアム)では、所定のメールを受取れれば良いようです。
調べもしないで嘘を書かないで (スコア:0)
上場企業だと帝国データバンクに登録されていれば#ちゃんとベリサインのサイトに書いてある
Re:調べもしないで嘘を書かないで (スコア:1)
ベリサインで証明書を申請するためには、2003年6月までは上場企業を除いて登記簿謄本が必要でした。
帝国データバンクの企業コードを用いて認証する方法に変更されたのは、2003年7月以降の話です。
Re:調べもしないで嘘を書かないで (スコア:0)
そのもっと前は上場企業であっても登記簿謄本が必要でしたよ。
結局、嘘は嘘ってことです。
酷でもなんでもありません。
Re:調べもしないで嘘を書かないで (スコア:1)
>ベリサインだと登記簿謄本要りますよ。
># 上場企業だと省略可です。
という内容に対して、
>
上場企業だと帝国データバンクに登録されていれば>#ちゃんとベリサインのサイトに書いてある
というコメントなんですよね。
上場企業だと大抵は帝国データバンクに登録されているので、上場企業なら登記簿謄本が省略できる事は間違っていません。しかも2年前までは、元コメントの通り上場企業ならば省略できるという条件でした。
つまり現在の条件に包含される条件を仰っていただけです。
上場企業以外にも省略できる条件が有ったにしても、上場企業が省略できる事には違いが無いのに、それが嘘なんですか?
それに厳密な話をしますと、帝国データバンクに登録されていても、その登録内容に不備が有る場合は登記簿謄本が必要になります。上場企業ならばまず登記簿謄本が必要になる事は有りませんが、それ以外の企業ならば帝国データバンクに登録されていても登記簿謄本が必要になる場合が有りますし、それはベリサインのサイトにも明記されています。そういう意味では、
>
上場企業だと帝国データバンクに登録されていれば>#ちゃんとベリサインのサイトに書いてある
という事も嘘という事になります。
自らも厳密には正確とは言えない発言をしているのに、相手だけを嘘つき呼ばわりするというのは、私は不誠実だと思います。
>そのもっと前は上場企業であっても登記簿謄本が必要でしたよ。
>結局、嘘は嘘ってことです。
現時点の話をしているのですから、過去の条件と合致しなくても関係が無いと思います。
Re:調べもしないで嘘を書かないで (スコア:1)
みなさん、正確なフォローありがとうございます。
実は上場企業にいる上に、最近は Betrusted (というか、
取った時は Baltimore)の証明書しか取ったことないので
調べ直さずに書いていました。
ところで、GeoTrust の証明書、実在証明なしに出すのは
怖いですよね。ユーザは警告ダイアログが出れば反応
するだろうけど、ルートが誰かまでは普通意識しない
と思うので、まさに「警告のでない nttwest.jp」
の証明書が誰でもとれてしまうんじゃないでしょうか。
Re:んー疑問を一つ (スコア:2, 参考になる)
>金さえ払えば誰でも取れるって聞いたことがあるんですが。
上の議論でも出てくるCPSという用語がその疑問に関係しています。
「どのようにすれば証明書が発行してもらえるか」というような証明機関の運用規則は,CPS(Certification Practice Statement)という文書にまとめてあります。証明機関はCPSを公開することが各種の規格で義務付けられており,ブラウザにルート証明書が同梱されているような証明機関ならば必ず何らかの方法で閲覧できるようになっています。
Verisignはこちら↓
http://www.verisign.co.jp/repository/CPS/
Re:んー疑問を一つ (スコア:1, 興味深い)
でも、それを匿名で行うにはコストがかかり、
フィッシングサイトの収益を圧迫できると言うのが重要。
使い捨てのWEBサイトのために次々と取得するのは厳しいだろうからね。
Re:んー疑問を一つ (スコア:0)
ベリサイン(などなど)に身元を証明する書類を出して、免許証のような住所と名前を書いたものを作ってもらうんです。その証明書はサーバ用なら、ふつうは1つのサーバで使えます。
ベリサインじゃないところには、だれだかわからなくても書類なしで証明書発行するところもあるんですけどね。
ドメインの所有者かどうかなんて、確認しないことも多いし、ドメイン自体、名前偽装して登録できるので、人のドメインの証明書とることも比較的簡単。使えるかどうかはまた別の話。
偽サイトかどうかは、鍵のマーククリックして誰の証明書なのか表示してみるまで、ほんとはわからないんですが、信頼できない認証局だと見てもわからないこともあります。