アカウント名:
パスワード:
>EV証明書では厳格な審査が行われるとされ、アドレスバーが緑色に変われば安心ともいわれるが、実際には会社を設立すれば比較的簡単に取得できてしまうという。
表示の実装方法云々じゃなくて、審査が不十分なのが全ての問題。ここを直さないと他にも問題がボロボロ出てくるし、逆に直せばほぼ全ての問題が解決する。
審査が不十分なのが全ての問題。
正しく登記された実在の企業で、連絡先(住所等)も間違っていない、以上の何を審査すれば良いというのか。
実在の企業を作れてしまう脆弱性
日本では登記住所さえ異なれば別に他社と同じ名前をつけていい。商標上の問題で訴えられるケースはあるけど、フィッシングをしようというヤツは気にしないだろうね。そもそも商標だって区分が違えば同一でも問題ないし。
どこの国でもそうだと思うが、同一会社名を認めないとつけられる会社名がどんどん長くなってしまって困る。だから、会社が正規に設立される以上はどうしようもない。
しかも国が違えばもう、重複なんてチェックすらされないしなそれを審査が足らないというなら、既存企業のリネームも含めて、全世界の企業名を一意にする制度を整える必要が出てくる
一応現状でも Safari 以外の主要ブラウザは EV 証明書の Subject "C" の国名をアドレスバーに表示しています。
Safari : Stripe, IncChrome : Stripe, Inc [US]IE 11 : Stripe, Inc [US]Edge : Stripe, Inc [US]Firefox : Stripe, Inc (US)※各ブラウザの最新版でアドレスバーに表示される文字列
しかし、同じ国内でも企業名の重複が許されている国がある(アメリカや日本など)ので、同国内だけであっても企業名を一意にするというのは現実的ではないですね。
自分のFirefoxでは会社名等が表示されませんでしたおかしいと調べたら設定-詳細のOCSPレスポンダ確認をオフにしていましたオフにするとこういう危険性があるんですね
IEもOFFにするとEV証明書として表示されないらしい [cybertrust.ne.jp]。
なんでなんだろ。即、失効確認できる状態でしかEV証明書として表示できないみたいなルールでもあるのか、ブラウザ側の検証手順で必須なデータがあるのか…
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
原因と対策が最初の2行でわかる (スコア:2)
>EV証明書では厳格な審査が行われるとされ、アドレスバーが緑色に変われば安心ともいわれるが、実際には会社を設立すれば比較的簡単に取得できてしまうという。
表示の実装方法云々じゃなくて、審査が不十分なのが全ての問題。ここを直さないと他にも問題がボロボロ出てくるし、逆に直せばほぼ全ての問題が解決する。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re: (スコア:0)
審査が不十分なのが全ての問題。
正しく登記された実在の企業で、連絡先(住所等)も間違っていない、以上の何を審査すれば良いというのか。
Re: (スコア:1)
実在の企業を作れてしまう脆弱性
Re: (スコア:0)
日本では登記住所さえ異なれば別に他社と同じ名前をつけていい。
商標上の問題で訴えられるケースはあるけど、フィッシングをしようというヤツは気にしないだろうね。そもそも商標だって区分が違えば同一でも問題ないし。
どこの国でもそうだと思うが、同一会社名を認めないとつけられる会社名がどんどん長くなってしまって困る。
だから、会社が正規に設立される以上はどうしようもない。
Re: (スコア:0)
しかも国が違えばもう、重複なんてチェックすらされないしな
それを審査が足らないというなら、既存企業のリネームも含めて、全世界の企業名を一意にする制度を整える必要が出てくる
Re: (スコア:2)
一応現状でも Safari 以外の主要ブラウザは EV 証明書の Subject "C" の国名をアドレスバーに表示しています。
しかし、同じ国内でも企業名の重複が許されている国がある(アメリカや日本など)ので、同国内だけであっても企業名を一意にするというのは現実的ではないですね。
Re: (スコア:0)
自分のFirefoxでは会社名等が表示されませんでした
おかしいと調べたら設定-詳細のOCSPレスポンダ確認をオフにしていました
オフにするとこういう危険性があるんですね
Re:原因と対策が最初の2行でわかる (スコア:0)
IEもOFFにするとEV証明書として表示されないらしい [cybertrust.ne.jp]。
なんでなんだろ。
即、失効確認できる状態でしかEV証明書として表示できないみたいなルールでもあるのか、ブラウザ側の検証手順で必須なデータがあるのか…