アカウント名:
パスワード:
・ドメイン認証のみの証明書・組織認証の証明書・厳格な組織認証の証明書(EV SSL証明書)
多くのブラウザでは、この3つが容易に区別できるような実装にはなってない
この3つが容易に区別がつく実装が増えないと、せっかくのEV SSLが役に立たない
そもそもSSL(TLS)証明書の目的は「通信経路を第三者に傍受・改竄されない」ことなんだよね。そんで、通信したい相手との間に、第三者が入ってリレーされたら困るから、証明局も絡むだけで。
なので「証明書で相手の素性を判断する」こと自体、副次的な用途でしかないから、主目的にするのがおかしいのでは。
確かに。その理屈だと、EV SSL証明書って意味があるようで本質的には意味がないのではないかという気がする。
いや気がするってもう2023年も終わろうとしているのに。それにブラウザがEV証明書の特別扱いやめたの何年前だよ。
https://security.srad.jp/story/19/11/11/1632250/ [security.srad.jp]2019年時点でこんな話してたりするし。
アンチウィルス製品に、このEV証明書を台無しにしてくれるものがあるよね。(ほとんどの製品がそれか)
EV SSL証明書をいくら見たって相手の素性の真正性の担保は出来ないというとっくに終わった議論を理解できないのかね?
なんすか、この暗号化の意味もわかってないようなど素人君は。
2019年まではEV SSLだとアドレスバー緑にしてたりしたけど、意味ないし、意味があっても逆効果だってんでやめたわけだけどね。厳格な組織認証ってco.jpとるのと比べてどれくらいハードル上がるわけ、って気もするけど。https://www.nic.ad.jp/sc-sendai/program/iwsc-sendai-d2-5.pdf [nic.ad.jp]
以前はEV証明書の組織名がアドレスバー先頭に緑色で表示されてたんだけどね。現在のChromium系ブラウザは、EV証明書であることを確認する手続きとしては下記デグレ措置?よりも更に一手を要す構成になってしまった。
参考: https://chromium.googlesource.com/chromium/src/+/HEAD/docs/security/ev... [googlesource.com]
EV証明書の組織名の表示が案外役に立たないのではないかという理由もいろいろあった。
https://jovi0608.hatenablog.com/entry/2019/08/12/095854 [hatenablog.com]
自分が興味深いと思ったのは、アメリカで別の州で同じ名前の法人を設立できる、それで一見同じ組織名のEV証明書を作れるという話。
日本でも○○(株)、(株)○○とかほぼ同名企業・組織いっぱいあるし、どこでも同じだよ
別の市町村なら完全に同一の名前で登記できるよね
とは言っても商標権が絡んでたり有名企業の場合は法務局の判断で却下されるけどね。市町村変えた程度で何とかなるなら「Twitter Japan」はとっくに「X Japan」になってる。
その辺は、日本でもあんまり事情は変わらないかも。同じ名前の会社の間違い電話をちょくちょく受けた。
緑色が安全を誤認する害になっていたので当然だろう。
昔、急にURLバーのところが緑色になってパソコン乗っ取られたかとびっくりしたわ
別にEVSSLだろうが詐欺会社なら取れるわけで、なんの意味もない。実在して登記もしている詐欺会社が、いつの間にかオフィスも移転して所在不明になっていても気づけないから。
ホワイトリスト形式で認証サイト以外は全て警告の方がまだいい。
イーロン:俺が認証マーク作ってやんよ
と冗談はさておき、某教委からサイト繋がらないエスカレーションがあって確認したところ、某有料優良教育コンテンツサイト(結構テレビCMも出してる)がLEだったので弾いていた、ということがありました。数ヶ月後のホワイトリスト棚卸しで再確認したところ、そのサイトはEVに移行してました。
立ち上げ時は取り敢えずEVで、というのも有ると思うので、一概に蹴るのも善し悪しかなと思いました。
せっかくのEV SSL()何年遅れの認識だよ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
ブラウザで証明書の区別がつかないのが悪い (スコア:0)
・ドメイン認証のみの証明書
・組織認証の証明書
・厳格な組織認証の証明書(EV SSL証明書)
多くのブラウザでは、この3つが容易に区別できるような実装にはなってない
この3つが容易に区別がつく実装が増えないと、せっかくのEV SSLが役に立たない
Re:ブラウザで証明書の区別がつかないのが悪い (スコア:3, すばらしい洞察)
そもそもSSL(TLS)証明書の目的は「通信経路を第三者に傍受・改竄されない」ことなんだよね。
そんで、通信したい相手との間に、第三者が入ってリレーされたら困るから、証明局も絡むだけで。
なので「証明書で相手の素性を判断する」こと自体、副次的な用途でしかないから、主目的にするのがおかしいのでは。
Re: (スコア:0)
確かに。
その理屈だと、EV SSL証明書って意味があるようで本質的には意味がないのではないかという気がする。
Re:ブラウザで証明書の区別がつかないのが悪い (スコア:1)
いや気がするってもう2023年も終わろうとしているのに。
それにブラウザがEV証明書の特別扱いやめたの何年前だよ。
https://security.srad.jp/story/19/11/11/1632250/ [security.srad.jp]
2019年時点でこんな話してたりするし。
Re: (スコア:0)
アンチウィルス製品に、このEV証明書を台無しにしてくれるものがあるよね。
(ほとんどの製品がそれか)
Re:ブラウザで証明書の区別がつかないのが悪い (スコア:1)
EV SSL証明書をいくら見たって相手の素性の真正性の担保は出来ないというとっくに終わった議論を理解できないのかね?
Re: (スコア:0)
なんすか、この暗号化の意味もわかってないようなど素人君は。
Re: (スコア:0)
2019年まではEV SSLだとアドレスバー緑にしてたりしたけど、意味ないし、意味があっても逆効果だってんでやめたわけだけどね。
厳格な組織認証ってco.jpとるのと比べてどれくらいハードル上がるわけ、って気もするけど。
https://www.nic.ad.jp/sc-sendai/program/iwsc-sendai-d2-5.pdf [nic.ad.jp]
Re: (スコア:0)
以前はEV証明書の組織名がアドレスバー先頭に緑色で表示されてたんだけどね。
現在のChromium系ブラウザは、EV証明書であることを確認する手続きとしては下記デグレ措置?よりも更に一手を要す構成になってしまった。
参考: https://chromium.googlesource.com/chromium/src/+/HEAD/docs/security/ev... [googlesource.com]
Re:ブラウザで証明書の区別がつかないのが悪い (スコア:1)
EV証明書の組織名の表示が案外役に立たないのではないかという理由もいろいろあった。
https://jovi0608.hatenablog.com/entry/2019/08/12/095854 [hatenablog.com]
自分が興味深いと思ったのは、アメリカで別の州で同じ名前の法人を設立できる、それで一見同じ組織名のEV証明書を作れるという話。
Re: (スコア:0)
日本でも○○(株)、(株)○○とかほぼ同名企業・組織いっぱいあるし、どこでも同じだよ
Re: (スコア:0)
別の市町村なら完全に同一の名前で登記できるよね
Re: (スコア:0)
とは言っても商標権が絡んでたり有名企業の場合は法務局の判断で却下されるけどね。
市町村変えた程度で何とかなるなら「Twitter Japan」はとっくに「X Japan」になってる。
Re: (スコア:0)
その辺は、日本でもあんまり事情は変わらないかも。
同じ名前の会社の間違い電話をちょくちょく受けた。
Re: (スコア:0)
緑色が安全を誤認する害になっていたので当然だろう。
Re: (スコア:0)
昔、急にURLバーのところが緑色になってパソコン乗っ取られたかとびっくりしたわ
Re: (スコア:0)
別にEVSSLだろうが詐欺会社なら取れるわけで、なんの意味もない。実在して登記もしている詐欺会社が、
いつの間にかオフィスも移転して所在不明になっていても気づけないから。
ホワイトリスト形式で認証サイト以外は全て警告の方がまだいい。
Re: (スコア:0)
イーロン:俺が認証マーク作ってやんよ
と冗談はさておき、某教委からサイト繋がらないエスカレーションがあって確認したところ、
某有料優良教育コンテンツサイト(結構テレビCMも出してる)がLEだったので弾いていた、ということがありました。
数ヶ月後のホワイトリスト棚卸しで再確認したところ、そのサイトはEVに移行してました。
立ち上げ時は取り敢えずEVで、というのも有ると思うので、一概に蹴るのも善し悪しかなと思いました。
Re: (スコア:0)
せっかくのEV SSL()
何年遅れの認識だよ