パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

無料SSL「Let’s Encrypt」のルート証明書がすべての端末で直接信頼されるには5年必要」記事へのコメント

  • 「SSLだから安心」とか謳ってるマーケティングが存在する以上、SSLは一定の信頼(というか誤解)を招きやすい状況だけど、
    Let's Encryptに代表されるDV証明書は相手先の存在まで認証しているわけじゃないことが明確になるべきだと思う。

    そういう点ではDVとOVは決定的な違いがあるのに、どちらも見た目では区別が出来ないのが詐欺師支援環境と化している。

    # まぁ、EV取れって話もあるけど、EVほど手間とコストをかける必要はないが実在証明くらいは必要ってパターンは多い。

    • by Anonymous Coward

      証明書を見ればDVとOVはすぐに区別が付くのですが、そういう話ではないのですよね。
      実際のところ、OVの基準で「詐欺師ではない」と分かるものなのでしょうか。
      カリフォルニア州サンフランシスコが所在地ではないStripe Inc.に発行された証明書をすぐに見破れる自信がありません。

      • by Anonymous Coward on 2018年08月11日 0時32分 (#3459747)

        「証明書を見れば」ってのは現実的な解じゃないよ。
        手順が多すぎるので一般人は見ないし、一部のブラウザでは見る手段すらない。

        OVの価値は「相手が自分の認知している相手」ってことを保証する手段なので、
        たとえば「O = MUFG Bank, Ltd.」がSubjectに記載されている証明書を持ってる
        サイトの運営者は三菱UFJ銀行以外の誰でもありえないということになる。
        同名企業まで心配するなら国と地域を見ればいいが、ここまでの有名企業では
        世界中のどこでも第三者は登記できない。

        一方、Stripe Incなんて知らないし、知らない企業を信用する必要もない。
        詐欺師であってもなくても、どちらにせよ取引相手になりえない。

        親コメント

にわかな奴ほど語りたがる -- あるハッカー

処理中...