パスワードを忘れた? アカウント作成
13675968 story
インターネット

無料SSL「Let’s Encrypt」のルート証明書がすべての端末で直接信頼されるには5年必要 27

ストーリー by hylom
実用上の問題は今のところありませんが 部門より
あるAnonymous Coward曰く、

無料でSSL/TLS証明書を発行するLet's Encryptが、同プロジェクトのルート証明書がMicrosoftやGoogle、Apple、Mozilla、Oracle、blackberryなどを含む主要メーカーの製品から直接「信頼」されたことを発表した

無料でHTTPSの利用ができるようになるとあって多くのユーザーからの支持を得ているLet's Encryptではあるが、すべての端末で直接信頼されるためにはさらに5年以上かかるという予想を出している。

Let's Encryptのルート証明書は比較的新しいOSやブラウザ、端末からは直接信頼されているものの、世の中にはそうでない古くからあるシステムも数多く稼働している。これに関しては古いシステム自体がWebエコシステムから退出するのを待つしかなく、これには5年以上かかるとLet's Encryptは見積もっているという(GIGAZINEBLEEPING CPMPUTERSlashdot)。

なお、Let's Encryptでは中間証明書が大手認証局IdenTrustによってクロス署名されているため、Let's Encryptのルート証明書を直接信頼していない製品であってもLet's Encryptで発行された証明書はほとんどのケースで信頼されるようになっている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年08月10日 14時19分 (#3459315)

    大手というかクロス署名しているLet's Encryptの証明書がIdenTrustとして数えられて大手になったというか

  • by Anonymous Coward on 2018年08月10日 14時55分 (#3459339)

    「SSLだから安心」とか謳ってるマーケティングが存在する以上、SSLは一定の信頼(というか誤解)を招きやすい状況だけど、
    Let's Encryptに代表されるDV証明書は相手先の存在まで認証しているわけじゃないことが明確になるべきだと思う。

    そういう点ではDVとOVは決定的な違いがあるのに、どちらも見た目では区別が出来ないのが詐欺師支援環境と化している。

    # まぁ、EV取れって話もあるけど、EVほど手間とコストをかける必要はないが実在証明くらいは必要ってパターンは多い。

    • Re: (スコア:0, 既出)

      by Anonymous Coward

      OVに意味はない。EVをより高く売りつけたい証明書屋に騙されているだけ。だから「EV取れ」としか言いようがない

    • by Anonymous Coward

      ていうか、こういうめんどくさい区分自体無くしてしまった方がいいんじゃないの?
      ただのランク付けで金儲けしたいだけでしょ。

    • by Anonymous Coward

      相手先の存在まで認証しているわけじゃないってどういうことですか?
      ѕrad.jpとhttpsでつながってたら、ѕrad.jpから来てることは信用していいんでしょ?

      • by Anonymous Coward

        ただ、images.srad.jpはTLS1.0オンリーだから安全なコンテツかどうかは不明。
        って、コメントが最近有ったような…。
        # どこで見かけたか思い出せないのでAC

      • by Anonymous Coward

        その「srad.jp」をどこのどいつが運営してるのかは誰にも分からん。

        # まぁ、srad.jpに限った話ならwhoisでOSDN株式会社って情報が引けるんだけどね。
        # だがwhoisの情報はまともに登録していない企業も多い。

        • by Anonymous Coward

          「srad.jp」じゃなくて「ѕrad.jp」ですよ。
          # くだらなすぎて気づかれなかった。

          • by Anonymous Coward

            sが環境依存文字になっているのでそこが違うんでしょうが、少なくとも私の環境では見ため同じに見えるので、言われて調べるまで気付きませんでしたよ

      • by Anonymous Coward

        元コメは「当該ドメイン(サーバー)を管理している組織」の「法的な実在性」について言及しているんだと思うよ。
        Let's Encrypt発行の証明書はDV証明書(ドメイン認証)なので管理組織の法的実在性は担保されない。

        OV証明書であれば管理組織の法的実在性が担保される。
        EV証明書であれば管理組織の法的実在性に加えて、厳格な運営体制/管理体制を備えた組織であることが担保される。

        • by Anonymous Coward
          co.jpドメインであれば管理組織の法的実在性はJPNICが担保しているので
          どこの馬の骨とも知れない証明局に担保してもらわなくても結構です
          • by Anonymous Coward

            民間企業に移管されてもう10年になるのですが
            https://www.nic.ad.jp/ja/dom/ikan.html [nic.ad.jp]

            • by Anonymous Coward

              JPNICだって別に国の機関じゃなかったし、
              JPRSだって co.jp の法的実在性くらいはチェックしてるので、
              「https://~.co.jp/ については OV 証明書はまあ不要」って結論は変わらないような?
              OV 証明書を発行してるのも民間の認証機関なわけで、JPRS よりも信頼できるってわけじゃないですよ。
              というか有象無象の認証機関もわるので JPRS より信用できないところでも OV 証明書を発行している。
              EV の方は勿論それなりの意味がありますが。

              • by Anonymous Coward

                実際のところco.jpに限れば信頼性は高いと思うが、企業がco.jp使うケースは少ないんだよな・・・
                維持費の高さと手続きの煩雑さ(裏を返せば信頼性)のせいだと思うんだが、そこはOVもEVも似たような話なので、
                結局「co.jpはなんとなくイケてない」ってところなんだろうか。

          • by Anonymous Coward

            co.jp でも中国の企業が運営していることがあるからな

            http://nlab.itmedia.co.jp/nl/articles/1804/12/news119.html [itmedia.co.jp]
            > 裁判ではその他、ゲーム公式サイト(kof98.ourpalm.co.jp)などでも使われている「ourpalm.co.jp」のドメインを「OURPALM株式会社」が取得していた件についても追求されていましたが、石渡氏はこれについて“中国法人からの個人的な依頼を受け、佐々木氏が代理で取得したもの”と説明

      • by Anonymous Coward

        srad.jpの方から来ました!

        # またまた御冗談を

    • by Anonymous Coward

      証明書を見ればDVとOVはすぐに区別が付くのですが、そういう話ではないのですよね。
      実際のところ、OVの基準で「詐欺師ではない」と分かるものなのでしょうか。
      カリフォルニア州サンフランシスコが所在地ではないStripe Inc.に発行された証明書をすぐに見破れる自信がありません。

      • by Anonymous Coward

        「証明書を見れば」ってのは現実的な解じゃないよ。
        手順が多すぎるので一般人は見ないし、一部のブラウザでは見る手段すらない。

        OVの価値は「相手が自分の認知している相手」ってことを保証する手段なので、
        たとえば「O = MUFG Bank, Ltd.」がSubjectに記載されている証明書を持ってる
        サイトの運営者は三菱UFJ銀行以外の誰でもありえないということになる。
        同名企業まで心配するなら国と地域を見ればいいが、ここまでの有名企業では
        世界中のどこでも第三者は登記できない。

        一方、Stripe Incなんて知らないし、知らない企業を信用する必要もない。
        詐欺師であってもなくても、どちらにせよ取引相手になりえない。

typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...