アカウント名:
パスワード:
Chrome 60 ではまだデフォルトで無効ではあるものの、なぜ、Google はユーザーが「認証局名」を確認する手段を奪ったのか? [srad.jp] で書いた問題が解決の方向に向かったのは嬉しいです。
証明書には様々なフィールドがあって何を確認すべきか分からないという人向けに書いておくと、証明書において一般ユーザーが確認すべきフィールドは「サブジェクト」です。
例えば、Suica ポイントクラブのログイン画面 [suicapoint.com] が、本物のサイトなのかフィッシング詐欺サイトなのかを確認したい場合には、証明書確認画面の詳細タブの「サブジェクト」をチェックすることで、認証局が「東京都渋谷区」にある「East Japan Railway Com
サブジェクトだけじゃ信用できなくないですか?(それ言ったら100%信用できるのって何?って話になりますが)証明書の発行会社を見ませんか?
仕事上の経験で、1.comドメインを取得 取得時にチェックなし。やろうと思えば偽名でも取得可。 確認メールを受信できればいい。2.取得した.comドメインのSSL証明書取得 .comの情報と同じ情報で取得申請して、postmaster@~ 宛の確認メールを受信できれば証明書は発行される。というのがあったので、こういう発行会社の証明書は信用できないなぁ、って思った。
サブジェクトだけじゃ信用できなくないですか? (それ言ったら100%信用できるのって何?って話になりますが) 証明書の発行会社を見ませんか?
私は見ますし、信用しない認証局や信用する認証局がある場合には、認証局名も見た方が良いですが、認証局についての知識がない場合は見ても判断材料にはならないかと思います。認証局名に「DV」「EV」とかが入っているケースでは証明書の種類は判断できますが、認証局名に含まれている保証はなく、また証明書の種類は「サブジェクト」とアドレスバーの色から判断できます。
そのため、フィッシング詐欺対策として重要度が高いのは「サブジェクト」です。
DRMか、DRMに関係するモジュールのブートプロセスなら、もっと真剣にチェックするでしょう?結局、三文判でしかないんですよ。大層な判子であったとしても、サーバ側にwebからつつける脆弱性があるか、ローカルにマルウェアがいたらおわり。経路暗号化程度の意味しかありません。なんてことを実装に無関心なエントユーザに言ってもしょうがないので、商業上、りっぱな判子を押すんです。しょうもない判子を押してくる商店からは買わない人もいて当然。それもわかります。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
一般ユーザーが確認すべきなのは「サブジェクト」 (スコア:2)
Chrome 60 ではまだデフォルトで無効ではあるものの、なぜ、Google はユーザーが「認証局名」を確認する手段を奪ったのか? [srad.jp] で書いた問題が解決の方向に向かったのは嬉しいです。
証明書には様々なフィールドがあって何を確認すべきか分からないという人向けに書いておくと、証明書において一般ユーザーが確認すべきフィールドは「サブジェクト」です。
例えば、Suica ポイントクラブのログイン画面 [suicapoint.com] が、本物のサイトなのかフィッシング詐欺サイトなのかを確認したい場合には、証明書確認画面の詳細タブの「サブジェクト」をチェックすることで、認証局が「東京都渋谷区」にある「East Japan Railway Com
Re: (スコア:0)
サブジェクトだけじゃ信用できなくないですか?
(それ言ったら100%信用できるのって何?って話になりますが)
証明書の発行会社を見ませんか?
仕事上の経験で、
1.comドメインを取得
取得時にチェックなし。やろうと思えば偽名でも取得可。
確認メールを受信できればいい。
2.取得した.comドメインのSSL証明書取得
.comの情報と同じ情報で取得申請して、postmaster@~
宛の確認メールを受信できれば証明書は発行される。
というのがあったので、こういう発行会社の証明書は信用できないなぁ、
って思った。
Re: (スコア:2)
私は見ますし、信用しない認証局や信用する認証局がある場合には、認証局名も見た方が良いですが、認証局についての知識がない場合は見ても判断材料にはならないかと思います。認証局名に「DV」「EV」とかが入っているケースでは証明書の種類は判断できますが、認証局名に含まれている保証はなく、また証明書の種類は「サブジェクト」とアドレスバーの色から判断できます。
そのため、フィッシング詐欺対策として重要度が高いのは「サブジェクト」です。
ザル。 (スコア:0)
DRMか、DRMに関係するモジュールのブートプロセスなら、もっと真剣にチェックするでしょう?
結局、三文判でしかないんですよ。
大層な判子であったとしても、サーバ側にwebからつつける脆弱性があるか、ローカルにマルウェアがいたらおわり。
経路暗号化程度の意味しかありません。
なんてことを実装に無関心なエントユーザに言ってもしょうがないので、商業上、りっぱな判子を押すんです。
しょうもない判子を押してくる商店からは買わない人もいて当然。それもわかります。