アカウント名:
パスワード:
まともに証明書発行してもらうととんでもねー金がかかるし、Let's Encryptは更新がめんどくさすぎるので、未だに会社のHPがHTTPのまま。・静的ページのみで漏れると困るような仕組みはない・会社名での検索しか考慮してないのでSEOはどうでもいいこんな感じ。
その会社名で公知されている情報が、本当にその会社が出してるものなのか、なんも保証できないので、信用するに値しない
と見做されつつある(改変はどうとでもできてしまう)からじゃない
つーか、その手間すらケチるくらいなら、どっかhttpsやってくれるところにホスティングまかせればいいし、それすらしないのって信用できる要素がかなりないように思えるんだが
>その会社名で公知されている情報が、本当にその会社が出してるものなのか、なんも保証できないので、信用するに値しない今時のフィッシングサイトは全部HTTPSだが。つかLet's Encryptの証明書でそんなもの保証できんし。サイト制作の営業が唱えるような寝言は十分わかってるので、もっと専門的な話が聞きたい。
URLというかドメインが期待の会社のまま、かつHTTPSでフィッシングするのかなり厳しいと思うので、それはさすがにいいがかりというか
# フィッシングサイトがHTTPSであることは、ここでの話題のキモじゃないでしょう?
その想定はMITMであってフィッシングとは言わん
MITM攻撃対策はDV証明書で十分だが、フィッシング攻撃対策にはOV/EV証明書があった方がいいという2つの別々の話じゃろ
…と、何も考えて無い訳じゃないんです、うちの運用なら問題ない事は明白なんです、と言い訳しなくて良くなる分だけ楽。そこまで考えても、素人には、でもなんかきもい、穴がありそう、とか思われてしまいそうで、専門家の意見を求めたくなるし。
その気苦労を背負い込むぐらいなら、バージョンアップでトラブルが起こったときの手間は諦めて、Let's Encryptの更新を自動実行させて放置する方へ自分だったら逃げる。
ウィルス対策ソフトを入れるべきか、と似たような話。
.go.jpとか.ac.jpが信用するに値しない状態になったら終わりだな。
まLet's Encryptは更新がめんどくさすぎるので
Let's Encrypt使用可能なサーバーなのに自動更新使えないとか意味不明な仕様ですね意図的な制限なのでしょうか?
取得自体は別端末でもできますからね。例えばファイアウォール等に証明書入れる場合には他マシンで取得せざるを得ない。今回のケースはそれとはもちろん別なんでしょうけど。
そんな面倒するくらいなら適当なDVを年間1000円前後で取得する方が楽ですが。
Let's Encryptには対応してない。貧乏な会社の為かは知らんけど、対応してない証明書でも管理画面からうpる救済措置がある。Let's Encryptの証明書は別サーバでも自動更新できるが、それをうpるような自動化がめんどくさい。
>適当なDVを年間1000円前後で取得する方が楽ですがほうほう。そんなリーズナブルな証明書が!
ちょっとググれば、年$5.00のDV証明書もある。
大半の人は証明書の発行元見ないからアドレスバーの『安全じゃありません』の印象が強いと思う後、今日日HTTPSじゃないとかダサって思われるだけじゃないかな
金が絡むくせにHTTPなのは、まぁ論外(ないとおもうけど
そのウェブサイトにアクセスするユーザーに不利益がかかる恐れがある。
中間者攻撃として、HTMLやJavaScriptの応答にこっそり(見た目上は元のウェブページそのままで)追加の処理を仕込む。マイニングしたり、ブラウザの脆弱性にチャレンジしたりなどができる。NSAはやっていた(FOXACID)とされるし、罠Wi-Fiアクセスポイントを設置する方法なら比較的お手軽だろう。
そういう被害を防ぐという目的もあるので、ウェブサイトの価値によらず、みなHTTPSを導入する意義がある。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
いまだにHTTPだとんな問題があるかな? (スコア:0)
まともに証明書発行してもらうととんでもねー金がかかるし、Let's Encryptは更新がめんどくさすぎるので、未だに会社のHPがHTTPのまま。
・静的ページのみで漏れると困るような仕組みはない
・会社名での検索しか考慮してないのでSEOはどうでもいい
こんな感じ。
Re: (スコア:0)
その会社名で公知されている情報が、本当にその会社が出してるものなのか、なんも保証できないので、信用するに値しない
と見做されつつある(改変はどうとでもできてしまう)からじゃない
つーか、その手間すらケチるくらいなら、どっかhttpsやってくれるところにホスティングまかせればいいし、それすらしないのって信用できる要素がかなりないように思えるんだが
Re: (スコア:0)
>その会社名で公知されている情報が、本当にその会社が出してるものなのか、なんも保証できないので、信用するに値しない
今時のフィッシングサイトは全部HTTPSだが。つかLet's Encryptの証明書でそんなもの保証できんし。
サイト制作の営業が唱えるような寝言は十分わかってるので、もっと専門的な話が聞きたい。
Re:いまだにHTTPだとんな問題があるかな? (スコア:1)
URLというかドメインが期待の会社のまま、かつHTTPSでフィッシングするのかなり厳しいと思うので、それはさすがにいいがかりというか
# フィッシングサイトがHTTPSであることは、ここでの話題のキモじゃないでしょう?
Re: (スコア:0)
その想定はMITMであってフィッシングとは言わん
MITM攻撃対策はDV証明書で十分だが、フィッシング攻撃対策にはOV/EV証明書があった方がいいという2つの別々の話じゃろ
Re: (スコア:0)
…と、何も考えて無い訳じゃないんです、うちの運用なら問題ない事は明白なんです、と言い訳しなくて良くなる分だけ楽。そこまで考えても、素人には、でもなんかきもい、穴がありそう、とか思われてしまいそうで、専門家の意見を求めたくなるし。
その気苦労を背負い込むぐらいなら、バージョンアップでトラブルが起こったときの手間は諦めて、Let's Encryptの更新を自動実行させて放置する方へ自分だったら逃げる。
ウィルス対策ソフトを入れるべきか、と似たような話。
Re: (スコア:0)
.go.jpとか.ac.jpが信用するに値しない状態になったら終わりだな。
Re: (スコア:0)
まLet's Encryptは更新がめんどくさすぎるので
Let's Encrypt使用可能なサーバーなのに
自動更新使えないとか意味不明な仕様ですね
意図的な制限なのでしょうか?
Re: (スコア:0)
取得自体は別端末でもできますからね。
例えばファイアウォール等に証明書入れる場合には他マシンで取得せざるを得ない。
今回のケースはそれとはもちろん別なんでしょうけど。
そんな面倒するくらいなら適当なDVを年間1000円前後で取得する方が楽ですが。
Re: (スコア:0)
Let's Encryptには対応してない。
貧乏な会社の為かは知らんけど、対応してない証明書でも管理画面からうpる救済措置がある。
Let's Encryptの証明書は別サーバでも自動更新できるが、それをうpるような自動化がめんどくさい。
>適当なDVを年間1000円前後で取得する方が楽ですが
ほうほう。そんなリーズナブルな証明書が!
Re: (スコア:0)
ちょっとググれば、年$5.00のDV証明書もある。
Re: (スコア:0)
大半の人は証明書の発行元見ないからアドレスバーの『安全じゃありません』の印象が強いと思う
後、今日日HTTPSじゃないとかダサって思われるだけじゃないかな
金が絡むくせにHTTPなのは、まぁ論外(ないとおもうけど
Re: (スコア:0)
そのウェブサイトにアクセスするユーザーに不利益がかかる恐れがある。
中間者攻撃として、HTMLやJavaScriptの応答にこっそり(見た目上は元のウェブページそのままで)追加の処理を仕込む。マイニングしたり、ブラウザの脆弱性にチャレンジしたりなどができる。NSAはやっていた(FOXACID)とされるし、罠Wi-Fiアクセスポイントを設置する方法なら比較的お手軽だろう。
そういう被害を防ぐという目的もあるので、ウェブサイトの価値によらず、みなHTTPSを導入する意義がある。