アカウント名:
パスワード:
格安SSLだと、むしろメールアドレスでの確認しか手段がなかったりしますよね。それでいて色んなメールアドレスでの申請を受け付けていたり、確かに危なっかしいです。
認証局が危うい場合、ルート証明書をインストールしているブラウザの責任になるのだろうか。オレオレ証明書でもなければ、傍目からは認証局の違いなんてわからんし。
http://gigazine.net/news/20150403-google-mozilla-ca/ [gigazine.net]
↑の件もそうだし、それ以前もこういうのがあった:Comodo CAがサーバ証明書を関係のない第三者に発行、大問題に [srad.jp]オランダの認証局で不正侵入が発覚、不正なSSL証明書が発行される [srad.jp]トルコの認証局、手違いで中間CA証明書を発行。早速攻撃に使われる [srad.jp]その度にブラウザベンダ各社は責任を果たしてくれていると思うよ。
それでいて色んなメールアドレスでの申請を受け付けていたり
これが問題だよね。
今更だと難しいかもしれないけど、RFCか何かで予約語みたいな感じで「SSL証明書を発行したりサーバー運営元への連絡先として使っていいアカウント名一覧」とか作るしかないんじゃないかなぁ。たとえば「admin」「info」「webmaster」以外に対してのSSL等の発行は禁止する、みたいな。
証明書を提供するところだけ対応してどうするの?フリーメールアドレスなどのサービスが対応するんでしょ。
いや、「すべての」認証局(証明書を発行する側)が対応するべき問題であって、それが現時点では不可能だから、ワークアラウンドとして自分とこのドメインでメールアドレスを提供する場合は注意してねって話。
> #2790157さんが何故かマイナスモデされているようですが
「無能」とか書いてある書き込みをマイナスモデされて、何故かわからないのはヤバいです。
俺も兼ねてから危ういと思ってたけど、格安SSLのみならず、ちゃんとした所でも身分証明の紙っペラ一枚で証明書を貰えたりするので、正直いって安全かどうか・・・いくら証明書発行機を要塞小屋に保管しても、申請の安全性がねえ・・・
EV-SSL以外、もしくはせいぜいverisignに高いお金を払ったような証明書以外は誰かがなりすましで申し込んだ詐欺サイトなので信用しないのが一番だね
身分証明の紙っペラ一枚しか出せない個人にSSL証明書を一切発行させないようにしよう企業も担当者が認証局に出向き厳しい面接を経てようやく発行の許可を出すそれぐらいしないと安全性は確保できない
それなんてEV-SSL?
そう、まさにEV-SSLぐらいしか信用できないってこと#2789761 さんだってそう言いたいんだろうし
せめて事業体はEVSSLにもっと移行してもええと思うわうちも毎年某大手に証明書を頼むけど、何の封印もない封筒で鍵が来るたびに「(誰かが途中で開けても)これもうわかんねえな」って思うし
厳しい面接って何聞くんだ?担当者に成りすました人が面接に来たらどうすんの?
https://gakumado.mynavi.jp/style/articles/34/outline [mynavi.jp]「君さぁ、何で証明書発行してもらえないかわかる?」「署名してほしいっていう情熱が伝わってこないんだよねぇ」
精神的にタフなサイトだけに発行されるんだ。成りすまそうなんて人は出てこないんだよ。
皆で揶揄してる所悪いけど、ソーシャルハック、オフラインハックの危険について考えることは決して無駄じゃないと思う
unix系のメールだと、 メールを制御する⇔権威DNSの管理権限なんで、メールアドレスでの申請は、DNSをいじれる人間だよという証明じゃないですかね。txtレコードに-allでspfを仕込んでおくのも有りでしょうし。
> メールを制御する⇔権威DNSの管理権限その考えはかなり間違ってる
SSLサーバ証明書申込者がドメインの権限補修釈迦堂かを確認するすべとしてそのドメインのゾーンのルートに対し指定されたTXTレコードを書き込めという権限確認方法は既にある。たとえばグローバルサインのこれhttps://jp.globalsign.com/introduce/new/quickssl/dns.html [globalsign.com]
> 権限補修釈迦堂意味はよく分かりませんが有り難いですね。
おお!言葉の意味はよくわからんが、とにかくすごいご利益ありそうだ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
確かに危うい (スコア:2)
格安SSLだと、むしろメールアドレスでの確認しか手段がなかったりしますよね。
それでいて色んなメールアドレスでの申請を受け付けていたり、確かに危なっかしいです。
誰の責任なんだろう (スコア:1)
認証局が危うい場合、ルート証明書をインストールしているブラウザの責任になるのだろうか。
オレオレ証明書でもなければ、傍目からは認証局の違いなんてわからんし。
GoogleやMozillaが中国の認証局が発行する証明書を「信頼できないもの」として失効させる (スコア:0)
http://gigazine.net/news/20150403-google-mozilla-ca/ [gigazine.net]
Re: (スコア:0)
↑の件もそうだし、それ以前もこういうのがあった:
Comodo CAがサーバ証明書を関係のない第三者に発行、大問題に [srad.jp]
オランダの認証局で不正侵入が発覚、不正なSSL証明書が発行される [srad.jp]
トルコの認証局、手違いで中間CA証明書を発行。早速攻撃に使われる [srad.jp]
その度にブラウザベンダ各社は責任を果たしてくれていると思うよ。
Re: (スコア:0)
これが問題だよね。
今更だと難しいかもしれないけど、RFCか何かで予約語みたいな感じで「SSL証明書を発行したりサーバー運営元への連絡先として使っていいアカウント名一覧」とか作るしかないんじゃないかなぁ。
たとえば「admin」「info」「webmaster」以外に対してのSSL等の発行は禁止する、みたいな。
Re: (スコア:0)
証明書を提供するところだけ対応してどうするの?
フリーメールアドレスなどのサービスが対応するんでしょ。
Re: (スコア:0)
いや、
「すべての」認証局(証明書を発行する側)が対応するべき問題であって、
それが現時点では不可能だから、ワークアラウンドとして自分とこのドメインで
メールアドレスを提供する場合は注意してねって話。
Re: (スコア:0)
> #2790157さんが何故かマイナスモデされているようですが
「無能」とか書いてある書き込みをマイナスモデされて、何故かわからないのはヤバいです。
Re: (スコア:0)
俺も兼ねてから危ういと思ってたけど、格安SSLのみならず、ちゃんとした所でも身分証明の紙っペラ一枚で証明書を貰えたりするので、正直いって安全かどうか・・・
いくら証明書発行機を要塞小屋に保管しても、申請の安全性がねえ・・・
Re: (スコア:0)
EV-SSL以外、もしくはせいぜいverisignに高いお金を払ったような証明書以外は
誰かがなりすましで申し込んだ詐欺サイトなので信用しないのが一番だね
Re: (スコア:0)
身分証明の紙っペラ一枚しか出せない個人にSSL証明書を一切発行させないようにしよう
企業も担当者が認証局に出向き厳しい面接を経てようやく発行の許可を出す
それぐらいしないと安全性は確保できない
Re: (スコア:0)
それなんてEV-SSL?
Re: (スコア:0)
そう、まさにEV-SSLぐらいしか信用できないってこと
#2789761 さんだってそう言いたいんだろうし
Re: (スコア:0)
せめて事業体はEVSSLにもっと移行してもええと思うわ
うちも毎年某大手に証明書を頼むけど、何の封印もない封筒で鍵が来るたびに「(誰かが途中で開けても)これもうわかんねえな」って思うし
Re: (スコア:0)
厳しい面接って何聞くんだ?
担当者に成りすました人が面接に来たらどうすんの?
Re: (スコア:0)
https://gakumado.mynavi.jp/style/articles/34/outline [mynavi.jp]
「君さぁ、何で証明書発行してもらえないかわかる?」
「署名してほしいっていう情熱が伝わってこないんだよねぇ」
精神的にタフなサイトだけに発行されるんだ。
成りすまそうなんて人は出てこないんだよ。
Re: (スコア:0)
皆で揶揄してる所悪いけど、ソーシャルハック、オフラインハックの危険について考えることは決して無駄じゃないと思う
Re: (スコア:0)
unix系のメールだと、
メールを制御する⇔権威DNSの管理権限
なんで、
メールアドレスでの申請は、DNSをいじれる人間
だよという証明じゃないですかね。
txtレコードに-allでspfを仕込んでおくのも有りで
しょうし。
Re: (スコア:0)
> メールを制御する⇔権威DNSの管理権限
その考えはかなり間違ってる
SSLサーバ証明書申込者がドメインの権限補修釈迦堂かを確認するすべとして
そのドメインのゾーンのルートに対し指定されたTXTレコードを書き込め
という権限確認方法は既にある。
たとえばグローバルサインのこれ
https://jp.globalsign.com/introduce/new/quickssl/dns.html [globalsign.com]
Re:確かに危うい (スコア:1)
> 権限補修釈迦堂
意味はよく分かりませんが有り難いですね。
Re: (スコア:0)
おお!言葉の意味はよくわからんが、とにかくすごいご利益ありそうだ。