アカウント名:
パスワード:
漠然と「httpsは暗号化されてて安全」とだけ考えてる俺は、何に気をつけるべきなんだろ?
この証明書が発行されてても、「せっかく色々と金をかけたドメインだから未来永劫信頼して欲しいし、そのために全方位紳士的に振舞いたい」と願う管理人が運営しているとは限らない、とか?(mega.nzが紳士的かと言えばアレだけどw)
通信傍受されまくったりする可能性あんの?
あと何だ?10個挙げるまで帰れま10。
「httpsは暗号化されてて安全」 から 「EV証明書(アドレスバーが緑色になるなどする証明書)は実在証明されているので、なりすましや通信傍受・改竄に対して安全」 に考えを改めれば良いと思います。
この証明書が発行されてても、「せっかく色々と金をかけたドメインだから未来永劫信頼して欲しいし、そのために全方位紳士的に振舞いたい」と願う管理人が運営しているとは限らない、とか?
Let's Encrypt の悪意のあるサイトへの証明書発行ポリシーについては フィッシング詐欺やマルウ [letsencrypt.jp]
証明書でのhttps接続が当たり前になるのであれば、ブラウザでEV証明書以外は「安全だよ」的な表示を行うのを止めて貰いたいと思うけど。
なってたかな?
EVがDVより信頼性が高く見た目も変えられていることから、認証局も格付けして、それを表示に反映するといいのかも。
10 EV8 信頼性の高い認証局の署名付き5 信頼性が少し落ちるけど有名どころの有料の署名付き3 Lets encryptのような無料の署名付き1 オレオレ0 http
有料だから信頼出来るってわけじゃないし、有料でも3同等としてもいいところもあるだろう。
# Paypal,Twitter,AppleなどはSymantecのEV。AmazonやFacebookやMicrosoftやYahooなどのIT巨人でもEVじゃない。# Googleは自分で自分を署名してるのはどうなんだろう
技術的にEV以外の証明書に格付けしても意味はない(CPSを機械的に検証できないから)。というかまさにその問題を解消するためにEVが開発されたのだから、話が反対。EV以外の証明書の格付けは証明書業者がEVの値段を少しでも釣り上げるためにやっていると言っても過言ではない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
マヌケな俺への十戒 (スコア:1)
漠然と「httpsは暗号化されてて安全」とだけ考えてる俺は、何に気をつけるべきなんだろ?
この証明書が発行されてても、「せっかく色々と金をかけたドメインだから未来永劫信頼して欲しいし、そのために全方位紳士的に振舞いたい」と願う管理人が運営しているとは限らない、とか?(mega.nzが紳士的かと言えばアレだけどw)
通信傍受されまくったりする可能性あんの?
あと何だ?10個挙げるまで帰れま10。
Let's Encrypt (に限らず格安系認証局)のドメイン所有者の認証プロセスは脆弱 (スコア:5, 興味深い)
「httpsは暗号化されてて安全」 から 「EV証明書(アドレスバーが緑色になるなどする証明書)は実在証明されているので、なりすましや通信傍受・改竄に対して安全」 に考えを改めれば良いと思います。
Let's Encrypt の悪意のあるサイトへの証明書発行ポリシーについては フィッシング詐欺やマルウ [letsencrypt.jp]
Re: (スコア:0)
証明書でのhttps接続が当たり前になるのであれば、
ブラウザでEV証明書以外は「安全だよ」的な表示を行うのを止めて貰いたいと思うけど。
なってたかな?
Re: (スコア:0)
EVがDVより信頼性が高く見た目も変えられていることから、認証局も格付けして、それを表示に反映するといいのかも。
10 EV
8 信頼性の高い認証局の署名付き
5 信頼性が少し落ちるけど有名どころの有料の署名付き
3 Lets encryptのような無料の署名付き
1 オレオレ
0 http
有料だから信頼出来るってわけじゃないし、有料でも3同等としてもいいところもあるだろう。
# Paypal,Twitter,AppleなどはSymantecのEV。AmazonやFacebookやMicrosoftやYahooなどのIT巨人でもEVじゃない。
# Googleは自分で自分を署名してるのはどうなんだろう
Re:Let's Encrypt (に限らず格安系認証局)のドメイン所有者の認証プロセスは脆弱 (スコア:1)
技術的にEV以外の証明書に格付けしても意味はない(CPSを機械的に検証できないから)。というかまさにその問題を解消するためにEVが開発されたのだから、話が反対。EV以外の証明書の格付けは証明書業者がEVの値段を少しでも釣り上げるためにやっていると言っても過言ではない。