Google Chrome 77ではURLバーのEV証明書の組織表示を廃止へ 19
ストーリー by hylom
確かにあまり意識していない 部門より
確かにあまり意識していない 部門より
現在Google ChromeやFirefoxなどでは、Extended Validation証明書(EV証明書)を使ったHTTPSでの接続時に、その証明書の発行先組織名がブラウザのURL欄に表示されるようになっている。しかし、Googleは今後この表示をやめる方針だそうだ(ぼちぼち日記、Chromeリポジトリの解説文書)。
これによると、今後はEV証明書を使ったサイトにおいても、URL欄にはその証明書は表示せず、表示される鍵アイコンをクリックして表示されるポップアップ内にその組織名を表示する方式になるという。
Googleはこの変更に向けて大規模フィールドテストを行っており、その結果URL欄での組織名表示は効果がないという結論に至ったそうだ。
フツーの人はキニシナイから (スコア:1)
以前、三井住友カードで「うちが使っているすべてのページはEV-SSLです」という記載があって「それは素晴らしい」と思ったのですが、三井住友カード決済で飛んだ3Dセキュアのドメインがacs.cafis-paynet.jpでムムっ?!と思った事があります。
※現在はEV SSLです
ポップアップブロッカーが多いせいか、インラインで3Dセキュアを表示するサイトもあって、アドレスバー見えねーとブータレて、フレーム情報で確認したこともありますが、そんな人は少数派なのでしょうね。
Re: (スコア:0)
スマホだと少しスクロールをした時点でアドレスバーも消えますし、URL偽装なども出てきています
そもそも興味が無い人にとっては証明書の種類どころか、少し前にはやった佐川急便の詐欺のようにそれっぽURLであれば踏んでしまう人も多くいます
ネットワークが生活必需品になりつつある今、誰でも見極められる仕組みを日々模索するするしか無いのではないでしょうか
システム屋さんは人は信じるなシステムで吸収しろと言う割に、ブラウザなどはURL見ないやつが悪い、Whois見れば判るだろうと言う人が増えるのは何故だろう・・・
Re: (スコア:0)
怖くて、スマホではクレカ決済しませんww
※当然、QR決済もしないので7pay祭に乗り遅れました
Re: (スコア:0)
> システム屋さんは人は信じるなシステムで吸収しろと言う割に、ブラウザなどはURL見ないやつが悪い、Whois見れば判るだろうと言う人が増えるのは何故だろう・・・
自分が開発する立場ではユーザーを信用しない。ユーザーの立場になった時はシステムを信用しない。
相手側を信用しないというポリシーでは整合性があります。
Re: (スコア:0)
「フツーの人はキニシナイ」と、「気にする人から確認する術を奪う」のは別の話だと思うのだけどね。
safariは問題外だけどchromeもiPhone版だといつの間にか証明書の詳細が表示できなくなってしまってて困った話。
Re: (スコア:0)
気にする人が確認する術をフツーのきにしない人が混乱する要因になるかもいれない
中途半端なインプットによって悪い方向に行かないとも限らない
URLを確認しましょう⇒対象企業のローマ字名が含まれてるから大丈夫!
証明書を確認しましょう⇒何か表示されたから安全!
アドレスバーを確認しましょう⇒それっぽい企業名が表示されてるから安心!
こんな人が増えないとも限りません・・・
そもそも (スコア:0)
そもそも、証明書の組織名を表示することにはどういうメリットがあると考えられていたのでしたっけ?
Re: (スコア:0)
認証機関が実在性を確認している証明。
日本だと四季報や法人番号の登録住所から確認されるけど規格化されてないので
テキトーな「実在性確認」やる機関も出てきて、EV証明書ができた。
そのEVもいい加減な運用してルート証明書ごと無効化された証明機関もあるが。
Re: (スコア:0)
会社の住所見るのに(大抵は本社じゃなくて部門の住所)いちいち四季報見る奴なんているのか?
Re: (スコア:0)
住所まで確認するのは証明機関の仕事。
ユーザは組織名を気にしていれば大丈夫。
実在しても東京都港区に「アップル株式会社」を作って組織名「Apple Inc.」の
証明書を取ろうとしても却下されるだろうから組織名は信用してもいい。
Re: (スコア:0)
そうですよね、普通はその会社のホームページに書いてありますよね!
Re: (スコア:0)
ドメインが異なるからこそEV SSLに意味がある(あった)のでは? EV SSLが前提ならツッコミどころは「ドメインが違う」ことではなく「EVが徹底されていない」こと(だった)のでは
我が社はこれを出したいがために期限が残った証明書をドブに (スコア:1)
偉い人がそこに組織名を出したいという鶴の一声を発し、
先月更新した証明書を諦めて再取得しました。
まだ余命ありますが、やっぱクライアント依存のものに期待しちゃいかんとですね。
Safari (スコア:0)
Safariでは前から鍵アイコンをクリックしないと組織名が表示されないようになっています。
iOSのSafariでは「鍵アイコンをクリックする」と同等の操作もできませんね。
Re: (スコア:0)
なおFirefoxも追随する模様 [mozilla.org]。Chromiumベースブラウザーが自動的に追随するのかどうかはわからんが、もしそうならEV証明書は完全にゴミになるな
全部表示 (スコア:0)
もうみんなFull HD以上の表示なんだから、
鍵アイコンをクリックしたら、Trust chain
の全部certsの内容を全部を1windowで出して(走召糸色木亥火暴)
"castigat ridendo mores" "Saxum volutum non obducitur musco"
Re: (スコア:0)
「閉じ方が分からないーブラクラだー」って兵庫県警が言ってきます
コードサイニング証明書 (スコア:0)
こっちもEVじゃないとSmartScreen出てくるの辞めてほしい…
由らしむべし知らしむべからず (スコア:0)
Googleはこの態度によるプロジェクトマネージメントを進めている莫迦を簀巻きにして放り出せ
Chromeだけでなくスマートフォン向けGmailアプリのチームもだ
IT業界に破門状を回すのも忘れるな