Vorspiel 曰く、

日経記事や/.本家で話題になっていますが，いわゆるオレオレ証明書ではなく，ブラウザに組み込まれているroot証明書発行者が認証した，「正規の」サーバ証明書を持ったフィッシングサイトが登場しています．
SANS ISC Handler's DiaryやWashington Post SecurityFix blogでの解説によると，問題のサーバ証明書を発行したのはEquifax社．サーバ証明書の認証の際に，発行対象の身元を正しく確認していなかったというあたり，証明書発行者としての資質を疑わざるを得ません．なお，前述の日経記事によれば「電子メールのやり取りだけで，サーバー証明書を取得できるサービスが最近登場しており，これを使えば身元をほとんど明らかにする必要がない」とのこと．
「SSL通信ではURLを確認し，かつサーバ証明書の内容を確認する．オレオレ証明書は信用しない」という，セキュリティにこだわるユーザならともかく，一般のユーザは相当な確率で引っかかりそうです．このようないい加減なサーバ証明書認証は一刻も早く止めてもらいたいものですが，それまではユーザ側で更なる自衛に努めるしかないのでしょうか．