アカウント名:
パスワード:
ISRG エグゼクティブ・ディレクターのJosh Aas氏はこういった事態が発生することを予め想定しており、Let's Encrypt のオープンベータ開始から1ヶ月以上前に フィッシング詐欺やマルウェアとの戦いにおける認証局の役割 [letsencrypt.jp](原文は The CA's Role in Fighting Phishing and Malware [letsencrypt.org])というブログ記事を書いてます。
長いので要約すると、
詐欺サイトに対しても平等にDV証明書を発行して良いという考え方もあるし、そうすべきではないという考え方もあるよね。色々な意見があることは承知している。技術的な観点からすると、DV証明書は公開鍵がそのドメインに属することを明
>DV証明書というのは、単に通信が暗号化されていることと、当該ドメイン名の所有者と通信を行っていることを証明するものなのですから、それなら認証局である必要ないだろ。オレオレ証明書と変わらん。
認証局ってのは最初からドメインがある程度信用できる事を確信した上で証明書を発行することを前提に仕様が組まれてるんだよ・
> 認証局ってのは最初からドメインがある程度信用できる事を確信した上で証明書を発行することを前提に仕様が組まれてるんだよ・
ドメインで何をやっているかなんて、考慮せずに証明書は発行されます。ぶっちゃけ、管理者ユーザに届くメールアドレスがあって、証明書の発行手数料を支払ってもらえれば証明書は発行されます。
認証局で発行された証明書とおれおれ証明書の違いは、発行した証明書の正当性が、第三者によって保証されるか否かだけです。おれおれ証明書を使ってサイトを運営しても、セキュリティは低下しません。ただ、証明書が改ざんされていないことや、秘密鍵が漏洩されていないことを自ら保証しないといけませんがね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
想定の範囲内であって問題視されるべきではない (スコア:5, 興味深い)
ISRG エグゼクティブ・ディレクターのJosh Aas氏はこういった事態が発生することを予め想定しており、Let's Encrypt のオープンベータ開始から1ヶ月以上前に フィッシング詐欺やマルウェアとの戦いにおける認証局の役割 [letsencrypt.jp](原文は The CA's Role in Fighting Phishing and Malware [letsencrypt.org])というブログ記事を書いてます。
長いので要約すると、
Re: (スコア:0)
>DV証明書というのは、単に通信が暗号化されていることと、当該ドメイン名の所有者と通信を行っていることを証明するものなのですから、
それなら認証局である必要ないだろ。オレオレ証明書と変わらん。
認証局ってのは最初からドメインがある程度信用できる事を確信した上で証明書を発行することを前提に仕様が組まれてるんだよ・
Re:想定の範囲内であって問題視されるべきではない (スコア:0)
> 認証局ってのは最初からドメインがある程度信用できる事を確信した上で証明書を発行することを前提に仕様が組まれてるんだよ・
ドメインで何をやっているかなんて、考慮せずに証明書は発行されます。
ぶっちゃけ、管理者ユーザに届くメールアドレスがあって、証明書の発行手数料を支払ってもらえれば
証明書は発行されます。
認証局で発行された証明書とおれおれ証明書の違いは、発行した証明書の正当性が、第三者によって保証されるか否かだけです。
おれおれ証明書を使ってサイトを運営しても、セキュリティは低下しません。
ただ、証明書が改ざんされていないことや、秘密鍵が漏洩されていないことを自ら保証しないといけませんがね。