アカウント名:
パスワード:
Chrome 60 ではまだデフォルトで無効ではあるものの、なぜ、Google はユーザーが「認証局名」を確認する手段を奪ったのか? [srad.jp] で書いた問題が解決の方向に向かったのは嬉しいです。
証明書には様々なフィールドがあって何を確認すべきか分からないという人向けに書いておくと、証明書において一般ユーザーが確認すべきフィールドは「サブジェクト」です。
例えば、Suica ポイントクラブのログイン画面 [suicapoint.com] が、本物のサイトなのかフィッシング詐欺サイトなのかを確認したい場合には、証明書確認画面の詳細タブの「サブジェクト」をチェックすることで、認証局が「東京都渋谷区」にある「East Japan Railway Com
サブジェクトだけじゃ信用できなくないですか?(それ言ったら100%信用できるのって何?って話になりますが)証明書の発行会社を見ませんか?
仕事上の経験で、1.comドメインを取得 取得時にチェックなし。やろうと思えば偽名でも取得可。 確認メールを受信できればいい。2.取得した.comドメインのSSL証明書取得 .comの情報と同じ情報で取得申請して、postmaster@~ 宛の確認メールを受信できれば証明書は発行される。というのがあったので、こういう発行会社の証明書は信用できないなぁ、って思った。
サブジェクトだけじゃ信用できなくないですか? (それ言ったら100%信用できるのって何?って話になりますが) 証明書の発行会社を見ませんか?
私は見ますし、信用しない認証局や信用する認証局がある場合には、認証局名も見た方が良いですが、認証局についての知識がない場合は見ても判断材料にはならないかと思います。認証局名に「DV」「EV」とかが入っているケースでは証明書の種類は判断できますが、認証局名に含まれている保証はなく、また証明書の種類は「サブジェクト」とアドレスバーの色から判断できます。
そのため、フィッシング詐欺対策として重要度が高いのは「サブジェクト」です。
2.取得した.comドメインのSSL証明書取得 .comの情報と同じ情報で取得申請して、postmaster@~ 宛の確認メールを受信できれば証明書は発行される。 というのがあったので、こういう発行会社の証明書は信用できないなぁ、 って思った。
メール以外の認証方法を採用している認証局もあり、DV証明書でも認証局によっては、http://example.com/key に確認コードを設置するとか、WHOISの連絡先のメールアドレスに確認コードを送るといった認証方法の認証局や、複数の方式を選択できる認証局もありますが、postmaster@example.com に確認コードを送るという方式は、DV証明書(ドメイン認証証明書)としては標準的な認証方法ですよ。「こういう発行会社の証明書は信用できない」と考えるのならば、「DV証明書は全部信用できない」と判断するのが良いでしょう。
そういった認証方式の場合、認証局はドメイン名しかチェックしていないので、証明書署名要求 (Certificate Signing Request) の、組織名(O)・市町村名(L)・都道府県名(S) に何を書いても、実際に発行される証明書の「サブジェクト」には O, L, S が掲載されません。
そのため、「サブジェクト」の内容が #3254845 で書いた「サブジェクト」をチェックしてもドメイン名以外の情報が確認できない場合 [srad.jp] のようになるので、認証局名を見ずに「サブジェクト」のみと確認した場合でも、ドメイン名しか認証していない証明書であることは分かります。
DRMか、DRMに関係するモジュールのブートプロセスなら、もっと真剣にチェックするでしょう?結局、三文判でしかないんですよ。大層な判子であったとしても、サーバ側にwebからつつける脆弱性があるか、ローカルにマルウェアがいたらおわり。経路暗号化程度の意味しかありません。なんてことを実装に無関心なエントユーザに言ってもしょうがないので、商業上、りっぱな判子を押すんです。しょうもない判子を押してくる商店からは買わない人もいて当然。それもわかります。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
一般ユーザーが確認すべきなのは「サブジェクト」 (スコア:2)
Chrome 60 ではまだデフォルトで無効ではあるものの、なぜ、Google はユーザーが「認証局名」を確認する手段を奪ったのか? [srad.jp] で書いた問題が解決の方向に向かったのは嬉しいです。
証明書には様々なフィールドがあって何を確認すべきか分からないという人向けに書いておくと、証明書において一般ユーザーが確認すべきフィールドは「サブジェクト」です。
例えば、Suica ポイントクラブのログイン画面 [suicapoint.com] が、本物のサイトなのかフィッシング詐欺サイトなのかを確認したい場合には、証明書確認画面の詳細タブの「サブジェクト」をチェックすることで、認証局が「東京都渋谷区」にある「East Japan Railway Com
Re: (スコア:0)
サブジェクトだけじゃ信用できなくないですか?
(それ言ったら100%信用できるのって何?って話になりますが)
証明書の発行会社を見ませんか?
仕事上の経験で、
1.comドメインを取得
取得時にチェックなし。やろうと思えば偽名でも取得可。
確認メールを受信できればいい。
2.取得した.comドメインのSSL証明書取得
.comの情報と同じ情報で取得申請して、postmaster@~
宛の確認メールを受信できれば証明書は発行される。
というのがあったので、こういう発行会社の証明書は信用できないなぁ、
って思った。
Re:一般ユーザーが確認すべきなのは「サブジェクト」 (スコア:2)
私は見ますし、信用しない認証局や信用する認証局がある場合には、認証局名も見た方が良いですが、認証局についての知識がない場合は見ても判断材料にはならないかと思います。認証局名に「DV」「EV」とかが入っているケースでは証明書の種類は判断できますが、認証局名に含まれている保証はなく、また証明書の種類は「サブジェクト」とアドレスバーの色から判断できます。
そのため、フィッシング詐欺対策として重要度が高いのは「サブジェクト」です。
メール以外の認証方法を採用している認証局もあり、DV証明書でも認証局によっては、http://example.com/key に確認コードを設置するとか、WHOISの連絡先のメールアドレスに確認コードを送るといった認証方法の認証局や、複数の方式を選択できる認証局もありますが、postmaster@example.com に確認コードを送るという方式は、DV証明書(ドメイン認証証明書)としては標準的な認証方法ですよ。「こういう発行会社の証明書は信用できない」と考えるのならば、「DV証明書は全部信用できない」と判断するのが良いでしょう。
そういった認証方式の場合、認証局はドメイン名しかチェックしていないので、証明書署名要求 (Certificate Signing Request) の、組織名(O)・市町村名(L)・都道府県名(S) に何を書いても、実際に発行される証明書の「サブジェクト」には O, L, S が掲載されません。
そのため、「サブジェクト」の内容が #3254845 で書いた「サブジェクト」をチェックしてもドメイン名以外の情報が確認できない場合 [srad.jp] のようになるので、認証局名を見ずに「サブジェクト」のみと確認した場合でも、ドメイン名しか認証していない証明書であることは分かります。
ザル。 (スコア:0)
DRMか、DRMに関係するモジュールのブートプロセスなら、もっと真剣にチェックするでしょう?
結局、三文判でしかないんですよ。
大層な判子であったとしても、サーバ側にwebからつつける脆弱性があるか、ローカルにマルウェアがいたらおわり。
経路暗号化程度の意味しかありません。
なんてことを実装に無関心なエントユーザに言ってもしょうがないので、商業上、りっぱな判子を押すんです。
しょうもない判子を押してくる商店からは買わない人もいて当然。それもわかります。