アカウント名:
パスワード:
無料だろうが有料だろうが申込者がドメインを操作できること以外は一切確認しない。大手の発行したDV証明書なら安全だとか誤解を招くので結構な有害情報。詐欺サイトは超大手のAmazonも多い。
まぁ、セコムみたいにDV証明書を発行しない所なら一応は安全なのか。
その悪用サイトの大半が Let's Encrypt だという情報が本当なら、有害とも言えないのでは?一般人はDV証明書なんて言われてもピンと来ないし、見分け方も分からないので、「発行元が Let's Encrypt なら個人情報入力するな」、ってのはあながち間違ってないかもしれない。
少なくとも被害件数は減らせるかと。
「発行元が Let's Encrypt なら個人情報入力するな」そのものが有害情報とは元コメの人も言ってないよ。「発行元が Let's Encrypt じゃなければ安心」という誤解を招くから有害情報 と言ってるんだよ。
ピンとこない一般人の被害件数を減らしたいだけなら、「個人情報を入力するな」が一番まっとうな助言じゃないかな。
「発行元が Let's Encrypt じゃなければ安心」とは元記事の人も言ってないよ?
大手企業で、フィッシングが危惧される手法(メール、メッセージサービス等)を使って、Let's Encryptの証明書のサイトで、何かしら情報を入力させようとするなら詐欺の可能性が高いって事でしょ?"Let's Encrypt"を"DV証明書"に変えても良いけど、素人に判別しにくいし、「フィッシング対策協議会によれば、一部の例外を除いて大半のフィッシングサイトでこの証明書が利用されている」というデータがあるなら、分かりやすさを重視しても良いんじゃない?
利用したい人に対して、全部利用するなは、全部利用しろってのと同じ。
なんで正規のサイトでLet's Encryptを使っているサイトを利用したいという状況はないという前提なん?
利用したいかどうかはともかく、もはやデファクトスタンダードでしょうに。
大手企業で、個人情報入力させるのに、Let's Encrypt使ってるサイトあったら、是非教えてほしい。そういう会社は、晒し上げた方が、公共の福祉に適ってると思う。少なくとも、個人情報を"大切に扱うつもりが皆無"の会社である事は確実だから。
命題の逆・裏・対偶の関係が分かってない人はここでも多いのです。バグの温床になるので、ソフトエンジニアは論理学の初歩ぐらいは学んでほしいのだけど。
AmazonやらZero SSLなんかも同様に使われるわけで、片手落ち過ぎて逆に有害。
LetsEncryptはドメイン所有者がドメインを管理していることしか確認していないだけで、ドメイン所有者が詐欺師かそうでないかはドメインの発行業者にお任せです。まあ、お任せとは言っても事後(事件後)しか動かないですけどね。
振り込め詐欺は携帯電話か050のIP電話から掛けてくるので、携帯電話/IP電話を使ってるやつは詐欺師であると言ってるようなもので、記事を書いた人がとんでもない暴論を述べているのが分かります。
なお、プリペイド携帯電話の場合は契約者が詐欺師かどうかは判断せずに身元確認だけで売ってるので、LetsEncryptと同じ程度の認証レベルですね。
050のIP電話番号は、最近は登記簿や代表者の身元確認などが必要なので、OVくらいの認証レベルです。
そういう他の発行者がそうではないかのような、誤認をさせる発言が、素人を危険に突き落とす。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
DV証明書 (スコア:0)
無料だろうが有料だろうが申込者がドメインを操作できること以外は一切確認しない。
大手の発行したDV証明書なら安全だとか誤解を招くので結構な有害情報。詐欺サイトは超大手のAmazonも多い。
まぁ、セコムみたいにDV証明書を発行しない所なら一応は安全なのか。
Re: (スコア:0)
その悪用サイトの大半が Let's Encrypt だという情報が本当なら、有害とも言えないのでは?
一般人はDV証明書なんて言われてもピンと来ないし、見分け方も分からないので、「発行元が Let's Encrypt なら個人情報入力するな」、ってのはあながち間違ってないかもしれない。
少なくとも被害件数は減らせるかと。
Re: (スコア:0)
「発行元が Let's Encrypt なら個人情報入力するな」そのものが有害情報とは元コメの人も言ってないよ。
「発行元が Let's Encrypt じゃなければ安心」という誤解を招くから有害情報 と言ってるんだよ。
ピンとこない一般人の被害件数を減らしたいだけなら、「個人情報を入力するな」が一番まっとうな助言じゃないかな。
Re: (スコア:0)
「発行元が Let's Encrypt じゃなければ安心」とは元記事の人も言ってないよ?
大手企業で、フィッシングが危惧される手法(メール、メッセージサービス等)を使って、Let's Encryptの証明書のサイトで、何かしら情報を入力させようとするなら詐欺の可能性が高いって事でしょ?
"Let's Encrypt"を"DV証明書"に変えても良いけど、素人に判別しにくいし、「フィッシング対策協議会によれば、一部の例外を除いて大半のフィッシングサイトでこの証明書が利用されている」というデータがあるなら、分かりやすさを重視しても良いんじゃない?
利用したい人に対して、全部利用するなは、全部利用しろってのと同じ。
Re: (スコア:0)
なんで正規のサイトでLet's Encryptを使っているサイトを利用したいという状況はないという前提なん?
Re: (スコア:0)
利用したいかどうかはともかく、もはやデファクトスタンダードでしょうに。
Re: (スコア:0)
大手企業で、個人情報入力させるのに、Let's Encrypt使ってるサイトあったら、是非教えてほしい。
そういう会社は、晒し上げた方が、公共の福祉に適ってると思う。
少なくとも、個人情報を"大切に扱うつもりが皆無"の会社である事は確実だから。
Re: (スコア:0)
命題の逆・裏・対偶の関係が分かってない人はここでも多いのです。
バグの温床になるので、ソフトエンジニアは論理学の初歩ぐらいは学んでほしいのだけど。
Re: (スコア:0)
AmazonやらZero SSLなんかも同様に使われるわけで、片手落ち過ぎて逆に有害。
Re: (スコア:0)
LetsEncryptはドメイン所有者がドメインを管理していることしか確認していないだけで、ドメイン所有者が詐欺師かそうでないかはドメインの発行業者にお任せです。
まあ、お任せとは言っても事後(事件後)しか動かないですけどね。
振り込め詐欺は携帯電話か050のIP電話から掛けてくるので、携帯電話/IP電話を使ってるやつは詐欺師であると言ってるようなもので、記事を書いた人がとんでもない暴論を述べているのが分かります。
なお、プリペイド携帯電話の場合は契約者が詐欺師かどうかは判断せずに身元確認だけで売ってるので、LetsEncryptと同じ程度の認証レベルですね。
050のIP電話番号は、最近は登記簿や代表者の身元確認などが必要なので、OVくらいの認証レベルです。
Re: (スコア:0)
そういう他の発行者がそうではないかのような、誤認をさせる発言が、素人を危険に突き落とす。