アカウント名:
パスワード:
ISRG エグゼクティブ・ディレクターのJosh Aas氏はこういった事態が発生することを予め想定しており、Let's Encrypt のオープンベータ開始から1ヶ月以上前に フィッシング詐欺やマルウェアとの戦いにおける認証局の役割 [letsencrypt.jp](原文は The CA's Role in Fighting Phishing and Malware [letsencrypt.org])というブログ記事を書いてます。
長いので要約すると、
詐欺サイトに対しても平等にDV証明書を発行して良いという考え方もあるし、そうすべきではないという考え方もあるよね。色々な意見があることは承知している。技術的な観点からすると、DV証明書は公開鍵がそのドメインに属することを明
証明書の件については「そもそもDV証明書を過度に信頼するユーザが間違ってる」って論なのに、GoogleのセーフブラウジングAPIについては「Googleが悪い」って言ってるのがちょっと、筋が通ってないんじゃないかと思う。
DV証明書のような「仕様に基づく限界をユーザは理解しなければならない」という考えをベースにするスタンスなら、Googleセーフブラウジングだって、Googleはユーザになにも保証してないのだから、過度に信頼するユーザが悪い。
逆に、企業にはそれなりに責任って物がある、というスタンスでいうなら、一般ユーザの、SSL証明書に対する過度な信頼は大手CA局のせいであって、DV証明書に本来の技術で対応できる以上の信頼を寄せてしまう一般ユーザは何も悪くない。
DV証明書のような「仕様に基づく限界をユーザは理解しなければならない」という考えをベースにするスタンスなら、 Googleセーフブラウジングだって、Googleはユーザになにも保証してないのだから、過度に信頼するユーザが悪い。
Google セーフブラウジングAPIの「誤検出」というのは、Google セーフブラウジングAPIを採用しているブラウザのユーザーが不利益を受けるだけでなく、Webサイトのオーナーに冤罪をふっかることになります。意図してそのサービスを利用しているユーザー以外のWebサイトオーナーが不利益を受け、事実上の検閲になり得るので、誤検出≒冤罪への対応が不十分な Google が悪いと考
EV証明書にしても登記簿や戸籍みたいなものですよね。その組織の実在を証明するのが目的であって、善良か悪徳かについては何も言っていない。DV証明書に至っては、トイレのドアをノックしてノックが返ってきたら、その個室に人がいる程度の事しか分からない。いずれにせよ、その相手を信用するかどうかはユーザーが自分で判断する以外にない。当たり前の話ですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
想定の範囲内であって問題視されるべきではない (スコア:5, 興味深い)
ISRG エグゼクティブ・ディレクターのJosh Aas氏はこういった事態が発生することを予め想定しており、Let's Encrypt のオープンベータ開始から1ヶ月以上前に フィッシング詐欺やマルウェアとの戦いにおける認証局の役割 [letsencrypt.jp](原文は The CA's Role in Fighting Phishing and Malware [letsencrypt.org])というブログ記事を書いてます。
長いので要約すると、
Re: (スコア:0)
証明書の件については「そもそもDV証明書を過度に信頼するユーザが間違ってる」って論なのに、
GoogleのセーフブラウジングAPIについては「Googleが悪い」って言ってるのがちょっと、筋が通ってないんじゃないかと思う。
DV証明書のような「仕様に基づく限界をユーザは理解しなければならない」という考えをベースにするスタンスなら、
Googleセーフブラウジングだって、Googleはユーザになにも保証してないのだから、過度に信頼するユーザが悪い。
逆に、企業にはそれなりに責任って物がある、というスタンスでいうなら、
一般ユーザの、SSL証明書に対する過度な信頼は大手CA局のせいであって、
DV証明書に本来の技術で対応できる以上の信頼を寄せてしまう一般ユーザは何も悪くない。
Re: (スコア:3)
Google セーフブラウジングAPIの「誤検出」というのは、Google セーフブラウジングAPIを採用しているブラウザのユーザーが不利益を受けるだけでなく、Webサイトのオーナーに冤罪をふっかることになります。意図してそのサービスを利用しているユーザー以外のWebサイトオーナーが不利益を受け、事実上の検閲になり得るので、誤検出≒冤罪への対応が不十分な Google が悪いと考
Re:想定の範囲内であって問題視されるべきではない (スコア:1)
EV証明書にしても登記簿や戸籍みたいなものですよね。
その組織の実在を証明するのが目的であって、善良か悪徳かについては何も言っていない。
DV証明書に至っては、トイレのドアをノックしてノックが返ってきたら、その個室に人がいる程度の事しか分からない。
いずれにせよ、その相手を信用するかどうかはユーザーが自分で判断する以外にない。当たり前の話ですね。