パスワードを忘れた? アカウント作成
13980344 story
Chrome

Google Chrome 77ではURLバーのEV証明書の組織表示を廃止へ 19

ストーリー by hylom
確かにあまり意識していない 部門より

現在Google ChromeやFirefoxなどでは、Extended Validation証明書(EV証明書)を使ったHTTPSでの接続時に、その証明書の発行先組織名がブラウザのURL欄に表示されるようになっている。しかし、Googleは今後この表示をやめる方針だそうだ(ぼちぼち日記Chromeリポジトリの解説文書)。

これによると、今後はEV証明書を使ったサイトにおいても、URL欄にはその証明書は表示せず、表示される鍵アイコンをクリックして表示されるポップアップ内にその組織名を表示する方式になるという。

Googleはこの変更に向けて大規模フィールドテストを行っており、その結果URL欄での組織名表示は効果がないという結論に至ったそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年08月13日 18時27分 (#3668453)

    以前、三井住友カードで「うちが使っているすべてのページはEV-SSLです」という記載があって「それは素晴らしい」と思ったのですが、三井住友カード決済で飛んだ3Dセキュアのドメインがacs.cafis-paynet.jpでムムっ?!と思った事があります。
    ※現在はEV SSLです

    ポップアップブロッカーが多いせいか、インラインで3Dセキュアを表示するサイトもあって、アドレスバー見えねーとブータレて、フレーム情報で確認したこともありますが、そんな人は少数派なのでしょうね。

    • by Anonymous Coward

      スマホだと少しスクロールをした時点でアドレスバーも消えますし、URL偽装なども出てきています
      そもそも興味が無い人にとっては証明書の種類どころか、少し前にはやった佐川急便の詐欺のようにそれっぽURLであれば踏んでしまう人も多くいます
      ネットワークが生活必需品になりつつある今、誰でも見極められる仕組みを日々模索するするしか無いのではないでしょうか

      システム屋さんは人は信じるなシステムで吸収しろと言う割に、ブラウザなどはURL見ないやつが悪い、Whois見れば判るだろうと言う人が増えるのは何故だろう・・・

      • by Anonymous Coward

        怖くて、スマホではクレカ決済しませんww
        ※当然、QR決済もしないので7pay祭に乗り遅れました

      • by Anonymous Coward

        > システム屋さんは人は信じるなシステムで吸収しろと言う割に、ブラウザなどはURL見ないやつが悪い、Whois見れば判るだろうと言う人が増えるのは何故だろう・・・
        自分が開発する立場ではユーザーを信用しない。ユーザーの立場になった時はシステムを信用しない。
        相手側を信用しないというポリシーでは整合性があります。

    • by Anonymous Coward

      「フツーの人はキニシナイ」と、「気にする人から確認する術を奪う」のは別の話だと思うのだけどね。

      safariは問題外だけどchromeもiPhone版だといつの間にか証明書の詳細が表示できなくなってしまってて困った話。

      • by Anonymous Coward

        気にする人が確認する術をフツーのきにしない人が混乱する要因になるかもいれない
        中途半端なインプットによって悪い方向に行かないとも限らない
        URLを確認しましょう⇒対象企業のローマ字名が含まれてるから大丈夫!
        証明書を確認しましょう⇒何か表示されたから安全!
        アドレスバーを確認しましょう⇒それっぽい企業名が表示されてるから安心!

        こんな人が増えないとも限りません・・・

        • by Anonymous Coward

          そもそも、証明書の組織名を表示することにはどういうメリットがあると考えられていたのでしたっけ?

          • by Anonymous Coward

            認証機関が実在性を確認している証明。
            日本だと四季報や法人番号の登録住所から確認されるけど規格化されてないので
            テキトーな「実在性確認」やる機関も出てきて、EV証明書ができた。

            そのEVもいい加減な運用してルート証明書ごと無効化された証明機関もあるが。

            • by Anonymous Coward

              会社の住所見るのに(大抵は本社じゃなくて部門の住所)いちいち四季報見る奴なんているのか?

              • by Anonymous Coward

                住所まで確認するのは証明機関の仕事。
                ユーザは組織名を気にしていれば大丈夫。

                実在しても東京都港区に「アップル株式会社」を作って組織名「Apple Inc.」の
                証明書を取ろうとしても却下されるだろうから組織名は信用してもいい。

              • by Anonymous Coward

                そうですよね、普通はその会社のホームページに書いてありますよね!

    • by Anonymous Coward

      ドメインが異なるからこそEV SSLに意味がある(あった)のでは? EV SSLが前提ならツッコミどころは「ドメインが違う」ことではなく「EVが徹底されていない」こと(だった)のでは

  • 偉い人がそこに組織名を出したいという鶴の一声を発し、
    先月更新した証明書を諦めて再取得しました。

    まだ余命ありますが、やっぱクライアント依存のものに期待しちゃいかんとですね。

  • by Anonymous Coward on 2019年08月13日 18時33分 (#3668457)

    Safariでは前から鍵アイコンをクリックしないと組織名が表示されないようになっています。
    iOSのSafariでは「鍵アイコンをクリックする」と同等の操作もできませんね。

    • by Anonymous Coward

      なおFirefoxも追随する模様 [mozilla.org]。Chromiumベースブラウザーが自動的に追随するのかどうかはわからんが、もしそうならEV証明書は完全にゴミになるな

  • by Seth (1176) on 2019年08月13日 18時40分 (#3668459) 日記

     もうみんなFull HD以上の表示なんだから、
    鍵アイコンをクリックしたら、Trust chain
    の全部certsの内容を全部を1windowで出して(走召糸色木亥火暴)

    --
    "castigat ridendo mores" "Saxum volutum non obducitur musco"
    • by Anonymous Coward

      「閉じ方が分からないーブラクラだー」って兵庫県警が言ってきます

  • by Anonymous Coward on 2019年08月14日 10時51分 (#3668795)

    こっちもEVじゃないとSmartScreen出てくるの辞めてほしい…

  • by Anonymous Coward on 2019年08月14日 13時09分 (#3668896)

    Googleはこの態度によるプロジェクトマネージメントを進めている莫迦を簀巻きにして放り出せ
    Chromeだけでなくスマートフォン向けGmailアプリのチームもだ
    IT業界に破門状を回すのも忘れるな

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...