パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「本物の」サーバ証明書を持つフィッシングサイト」記事へのコメント

  • Equifax というと今は Geotrust の QuickSSL [geotrust.com]だとは思うけれど.

    ITPro [nikkeibp.co.jp]によれば,本物がwww.mtnamerica.orgで,偽者がwww.mountain-america.netと別ドメインだったようです.
    似たドメインであっても別のドメインである以上,これはもうしょうがないのでは?

    QuickSSL は whois に書いてある所有者のメールアドレスに到達
    • クイックSSLプレミアムですが、大学の研究室で証明書を購入して使っています。
      売り掛けをしてくれるなど研究室単位でも購入しやすく結構便利です。
      ただ確かに実在証明はありませんので、発行された証明書のOフィールド(組織名)にはCNに書かれたドメイン名がそのまま入っています。

      問題点はよく言われるように証明書に記された組織の実在証明が行われているかどうかがユーザには分かり難い点だと思います。
      現状ではOフィールドやOUフィールドに書かれている内容(しかも各社ポリシーがバラバラ)でどうにか区別できる状況です。
      • ルート署名あり・実在証明あり:
        ウェブサーバwww.example.com
      • by Ryo.F (3896) on 2006年02月15日 15時19分 (#883981) 日記
        その、実在証明あり・なしは、どうやって判断するんです?

        具体的には、CPやCPS、運用実績などから総合的に判断するしかないと思いますが、
        それはブラウザメーカの仕事なんでしょうか?
        親コメント
        • by sugibuchi (24811) on 2006年02月15日 17時37分 (#884076)
          具体的には、CPやCPS、運用実績などから総合的に判断するしかないと思いますが、それはブラウザメーカの仕事なんでしょうか?

          あまり深くは考えたことは無いのですが、おそらくは認証機関とブラウザメーカーの共同作業になるのではないでしょうか。
          現在ですと認証機関やサービスによって証明書が証明している内容の程度は色々な訳で、それを各ユーザがCP/CPSのPDFを読んで判断しろ、というのはあまりにユーザ側のコストが高すぎると思います。有意義に使われなくなってしまうかも。

          例えば認証機関は協議して審査の基準とか最終的にユーザに提示する理解しやすい証明のセット(CNだけとか、Oも登記簿等で確認しましたよとか)を取り決める必要があると思います。
          ブラウザメーカーもそれらの証明内容を明瞭に提示するインターフェイスを実装する必要がありますね。
          親コメント
        • 少なくとも O == CN だったら実存証明してないのは自明ですね。

にわかな奴ほど語りたがる -- あるハッカー

処理中...