パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SSL証明書を使う詐欺サイトが急増中」記事へのコメント

  •  SSLは本来通信経路の信頼性を証明するものでしかないわけだけど、少なくともブラウザに最初からインストールされている証明書については、ある程度の社会的信頼を証明できるものでないといけない時代になっているのではないかと思います。

     アクセスしたサイトが信頼できるかどうかを担保にするためには、SSLのようなルート証明も必要ですが、サイト運営者の信用についても証明が必要になります。これはどちらか片方だけではだめで、両方セットになっていないと意味が半減します。
     今回のケースで言えば、Webサイトの乗っ取りを簡単に許して長時間気づかないようなゆるい運用のサイトがないかどうか定期的に監査するといったレベルのことまでケアするサービスが必要になっているのでは。

    #と似たようなことを「本物の」サーバ証明書を持つフィッシングサイト [srad.jp]にも思った。
    #これも関連ストーリーに追加すべきだと思う。

    • > 少なくともブラウザに最初からインストールされている証明書については、ある程度の社会的信頼を証明できるものでないといけない時代になっているのではないかと思います。

      いや、それは違うように思います。

      実社会の「証明書」が、学生証や社員証といった特定の組織の所属を証明する物から、パスポートや運転免許証といった広く公に身元を証明する物、或いは公的な資格の取得を証明する物といったように、証明書が認証する範囲や内容が色々と有る様に、PKIの証明書に関しても様々な水準の証明書が使い分けられるべきだと思います。

      ブラウザに予め格納されている証明書は「発行された証明書に嘘偽りが無い」という水準であって、その発行基準としてCP/CPSが公開されているのですから、それをユーザの自由意志で使い分けられるというのは、それほど間違っているとは思いません。
      もし仮に社会的信用まで証明する必要が有るとなると、証明書を発行するための認証基準が現在のEV-SSL以上に高まるのですから、サーバ証明書を取得するための費用は数倍にも跳ね上がると考えられます。そのような高コストな証明書しか選択肢が無い状態は、サーバ運営者のTLS/SSL離れを呼ぶ事となりネットワークのセキュリティは返って低下するように思います。
      親コメント

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

処理中...