パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

HTTPSやEV証明書を使っているのは「信頼できるサイト」なのか」記事へのコメント

  • じゃあ結局、本当の意味での
    「信頼できるサイトの見分け方」
    って何なの?

    他人の批判ばかりしていないで教えてほしい。
    • by Anonymous Coward on 2019年11月11日 17時25分 (#3714321)

      基本は、目的のホスト名+HTTPS、なら安心していい、と言えるでしょ。
      google.comのHTTPSなら安全だけど、HTTPSになってない(壊れてる)google.comは危険。

      見知らぬホストなら、HTTPSであろうがなかろうが信頼はできない。
      鍵で判断しようってのがそもそもの間違い。

      # Googleも裏で何してるかわからんから安全とは言えないのでは、という反論は認める

      親コメント
      • by Anonymous Coward on 2019年11月11日 19時04分 (#3714404)

        基本的に「目的のホスト名」とやらが正しいのか何て殆ど分からんと思うんですが……
        https://srad.co.jp/comment/3714313 [srad.co.jp] のコメントみてどう思う?

        親コメント
        • by Anonymous Coward

          サーバが見つかりませんでした。

          あれー? と30秒ぐらい首をひねったよ…

      • by Anonymous Coward

        最近は、サブオプションの最初だけ無料なのを”無料”とでっかく書いてものをうる商法がはやってるらしいぞ。
        インターネットはクーリングオフの対象ではないのでどうにもならないらしい。
        儲けが費用を上回るならEVSSL買うくらいわけない。

      • by Anonymous Coward

        つまり比較的安全な手順としてはこれでいいんじゃない?
        1. 複数のソースから大規模な DNS, CDN 攻撃が行われていないことを確認する。
        2. google 等の大手検索サイトにブックマークからアクセスする。
        3. 検索サイトの証明書が正しいことを確認する。
        4. 対象サービスを検索して上位のサイトにアクセスする。
        5. 対象のサイトの証明書が正しいことを確認する。

        • by Anonymous Coward

          > 1. 複数のソースから大規模な DNS, CDN 攻撃が行われていないことを確認する。

          どのサイトにもアクセスせずに、「複数のソースから大規模な DNS, CDN 攻撃が行われていないことを確認する」方法を教えてください。

      • by Anonymous Coward

        ルータやらDNSハックされてたら、ホスト名が合っててHTTPSでも駄目だしなぁ。
        ちょっと前もルート証明書もれてたとかもあるので証明書のシグネチャぐらいは覚えてないと駄目かも。

        結局、これだけ見れば大丈夫と保証できるもんは無いし、かといって全部確認してまわってたら何も出来ない。

        • by Anonymous Coward on 2019年11月12日 2時19分 (#3714609)

          そのために証明書があるんじゃんw
          いくらDNSハックされててもPCのルート証明書を改竄されてない限りはCN,OU,O,LとSANsのDNSは信用していいので。

          逆に、どれかの情報が嘘だったら全く信用してはいけないし、OとかOUが欠けてたら信用性は低い。

          親コメント
        • by nim (10479) on 2019年11月12日 12時38分 (#3714810)

          > 証明書のシグネチャぐらいは覚えてないと駄目かも

          もしかして:証明書の fingerprint (thumbprint)
          証明書のシグネチャ(部分)はちょっと長いから覚えるのは辛いと思う。

          親コメント

普通のやつらの下を行け -- バッドノウハウ専門家

処理中...