アカウント名:
パスワード:
ISRG エグゼクティブ・ディレクターのJosh Aas氏はこういった事態が発生することを予め想定しており、Let's Encrypt のオープンベータ開始から1ヶ月以上前に フィッシング詐欺やマルウェアとの戦いにおける認証局の役割 [letsencrypt.jp](原文は The CA's Role in Fighting Phishing and Malware [letsencrypt.org])というブログ記事を書いてます。
長いので要約すると、
詐欺サイトに対しても平等にDV証明書を発行して良いという考え方もあるし、そうすべきではないという考え方もあるよね。色々な意見があることは承知している。技術的な観点からすると、DV証明書は公開鍵がそのドメインに属することを明
証明書の件については「そもそもDV証明書を過度に信頼するユーザが間違ってる」って論なのに、GoogleのセーフブラウジングAPIについては「Googleが悪い」って言ってるのがちょっと、筋が通ってないんじゃないかと思う。
DV証明書のような「仕様に基づく限界をユーザは理解しなければならない」という考えをベースにするスタンスなら、Googleセーフブラウジングだって、Googleはユーザになにも保証してないのだから、過度に信頼するユーザが悪い。
逆に、企業にはそれなりに責任って物がある、というスタンスでいうなら、一般ユーザの、SSL証明書に対する過度な信頼は大手CA局のせいであって、DV証明書に本来の技術で対応できる以上の信頼を寄せてしまう一般ユーザは何も悪くない。
元コメに対して、ユーザに責任転嫁してGoogleを弁護するのは、さすがに無理があるだろ。
単に手続きに従って発行しているだけの証明書と、積極的なネット検閲であるGoogle Safe Browsingは同列には扱えない。この件でLet's Encryptには何の瑕疵もないが、合法なサイトを誤判定して閲覧を妨げ、サイトに損害を与えるのは、Googleに瑕疵がある。そりゃ技術的にはオフにできるけど、ChromeとFirefoxでデフォルトで適用されており、誤判定のリスクもオフにする方法も明確に表示されていない状態で、「ユーザの選択だ」というのは、サービス提供業者の肩を持ち過ぎだ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
想定の範囲内であって問題視されるべきではない (スコア:5, 興味深い)
ISRG エグゼクティブ・ディレクターのJosh Aas氏はこういった事態が発生することを予め想定しており、Let's Encrypt のオープンベータ開始から1ヶ月以上前に フィッシング詐欺やマルウェアとの戦いにおける認証局の役割 [letsencrypt.jp](原文は The CA's Role in Fighting Phishing and Malware [letsencrypt.org])というブログ記事を書いてます。
長いので要約すると、
Re: (スコア:0)
証明書の件については「そもそもDV証明書を過度に信頼するユーザが間違ってる」って論なのに、
GoogleのセーフブラウジングAPIについては「Googleが悪い」って言ってるのがちょっと、筋が通ってないんじゃないかと思う。
DV証明書のような「仕様に基づく限界をユーザは理解しなければならない」という考えをベースにするスタンスなら、
Googleセーフブラウジングだって、Googleはユーザになにも保証してないのだから、過度に信頼するユーザが悪い。
逆に、企業にはそれなりに責任って物がある、というスタンスでいうなら、
一般ユーザの、SSL証明書に対する過度な信頼は大手CA局のせいであって、
DV証明書に本来の技術で対応できる以上の信頼を寄せてしまう一般ユーザは何も悪くない。
Re:想定の範囲内であって問題視されるべきではない (スコア:0)
元コメに対して、ユーザに責任転嫁してGoogleを弁護するのは、さすがに無理があるだろ。
単に手続きに従って発行しているだけの証明書と、積極的なネット検閲であるGoogle Safe Browsingは同列には扱えない。
この件でLet's Encryptには何の瑕疵もないが、合法なサイトを誤判定して閲覧を妨げ、サイトに損害を与えるのは、Googleに瑕疵がある。
そりゃ技術的にはオフにできるけど、ChromeとFirefoxでデフォルトで適用されており、
誤判定のリスクもオフにする方法も明確に表示されていない状態で、「ユーザの選択だ」というのは、
サービス提供業者の肩を持ち過ぎだ。