Re:DV証明書はドメイン所有者になりすまして証明書を取得する攻撃を防げない (#3421119) | 上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる

「上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる」記事へのコメント

記事ページを表示すべてのコメント取得

検索62コメント Log In/Create an Account

DV証明書はドメイン所有者になりすまして証明書を取得する攻撃を防げない (スコア:0)

by Anonymous Coward

DV証明書はドメイン所有者の確認を平文通信のhttpやdnsやwhoisメールアドレスでやるので
通信が改ざんされて場合、悪意のある人物がドメイン所有者になりすまして証明書を取得できるので危険
電話、Fax、郵送などのインターネット以外の経路を併用して認証するOVやEVの方が安全性が高い
スラドはDVなのでLet'sと同レベル
- Re:DV証明書はドメイン所有者になりすまして証明書を取得する攻撃を防げない (スコア:0)
  
  by Anonymous Coward on 2018年06月07日 16時32分 (#3421119)
  
  うちの会社でも最近Let's Encryptを使い始めました。
  管理者になぜLet's Encryptにしたのか聞いたところhttps化の売り込み営業が
  うるさいからとの事。だから暗号化とか実在性とかはあまり考えてないみたい。
  検索順位は気にしてたみたいけど。
  まあ組織が違えば目的も違うって事で。
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    別にDVならどの認証局でも変わらんよ
    ぼったくり価格でDVを買うのは情弱だよ
    comodoのdv使って「スラドですらちゃんと買っているのに部門より」と言ってるhylomは、ただの情弱の馬鹿
    価格じゃなくて認証レベル（DV, OV, EV）で判断しよう
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    勤めている会社はどうかなと見たら、平文だった。
    まあ、困るような会社ではないのは確かだが。
    そういえば今度、プライバシーマーク取るらしいが、WebページがHTTPSであること、って要件はないんだろうか。
    まあ、Webページが改ざんされても、個人情報が洩れるわけではないが、問い合わせ先が改ざんされたら、まずい気がする。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      信頼できない証明書の警告を無視しろという案内がまかり通ってる世の中だと、
      アクセス数（ユニークユーザ数）の少ないところは、なりすまされても閲覧者がしばらく気づかず発覚しなかったりして。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      最低限問い合わせページがHTTPSであることは要求されますよ。
      ＃でもサイト全体がHTTPSでなくても許される。良いのか。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        問い合わせページに代表電話番号が記載されているだけの可能性
        問い合わせページに代表FAX番号が記載されているだけの可能性
        問い合わせページに代表メールアドレスが記載されているだけの可能性
        HTTPSが要求されるのは、フォームが用意されている場合だけですね。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる More ログイン

「上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる」記事へのコメント

DV証明書はドメイン所有者になりすまして証明書を取得する攻撃を防げない (スコア:0)

Re:DV証明書はドメイン所有者になりすまして証明書を取得する攻撃を防げない (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)