HTTPSやEV証明書を使っているのは「信頼できるサイト」なのか 92
ストーリー by hylom
何周目の議論だ 部門より
何周目の議論だ 部門より
Abema TVやAbema TIMESの記事で「信頼できるサイトの見分け方」として、「アドレスバーにカギのアイコンが付いているかどうか」というものが紹介されたのだが、これに対し正しくないとの批判が寄せられている(Togetterまとめ)。
「アドレスバーにカギのアイコンが付いている」というのは、そのWebサイトがSSLを使っていることを示している。また、『カギのアイコンが付いているWebサイトで緑色になっていれば「ある程度の安全の指標」になるが「注意は必要だ」』ともコメントされている。これは、そのサイトがEV証明書を使用していることを示している。
EV証明書に関しては単にサイトの運営社名を保証するだけであり、「アドレスバーが緑色になるサイトなら大丈夫」というのは無責任であると2008年にセキュリティ研究者の高木浩光氏が解説しており、EV SSLを緑色だというだけで信用してはいけない実例も紹介している。また、氏は「実在証明の機能はTLS(SSL)の機能ではない」とも述べている。
結局のところ (スコア:2)
「信頼できるサイトの見分け方」
って何なの?
他人の批判ばかりしていないで教えてほしい。
Re:結局のところ (スコア:1)
「『緑色だから安全』ではなく会社名を確認しなさい」と言っているわけだが。
Re: (スコア:0)
> 会社名を確認しなさい
まず、これが大きな間違い。
会社名は安全ではない。
Re: (スコア:0)
ちゃんと登記されている会社で、フィッシングサイトではなくEV-SSLもバッチリだけど、単に悪徳企業とかね。
Re: (スコア:0)
「会社名を確認しなさい」っていうのは単に登記されてるかとか見ろという話しじゃなくて、
信頼できる会社かチェックしろという意味でしょ・・・
Re: (スコア:0)
これは信用できない詐欺サイトに誘導されたということでいいですか?
Re: (スコア:0)
はい、信頼してはいけません。
マジな話、外部に全部丸投げしてる結果なわけで本当に信頼出来ないよ、それ。
Re: (スコア:0)
社会人になって、有名企業の闇を目の当たりにして、信頼とはなんだろうと。
まぁ、闇の深さでは官公庁がアレゲですが。
Re: (スコア:0)
Доверя́й, но проверя́й [wikipedia.org]という諺を知らんのか
信頼というのは思考停止して依存していいという話ではない
Re:結局のところ (スコア:1)
そうでなく、自分が情報を送信しようとしているサイトが情報を送信しようとしている会社と一致していますか?ということを確認しなさいってこと。
緑だから安全ではなくて、自分で判断出来るようにしなさいよ。そうしないと危険ですよ。というところまで解説せずに「緑色なら安全」と解説するところはあまりにも無責任でしょ。と高木先生は言っているわけだ。
Re:結局のところ (スコア:1)
最近のChrome(バージョン77以降)やFirefox(バージョン70以降)ではEV証明書でも緑色にならなくなったので、誰でも簡単に見分ける方法は、残念ですが減りつつあります。
Re: (スコア:0)
EV証明書の緑色と組織名表示であたかも誰でも簡単に見分けられるかのような幻想を与えるのが有害だから仕様が変わったんだよ。「残念ながら」と言っているようでは何もわかっていない
Re:結局のところ (スコア:1)
人の話を鵜呑みにしないこと。
自分で判断して自分なりの信頼基準を作ること。
友人・知人になる時とかも、そうじゃありませんか?
Re:結局のところ (スコア:1)
いやだから"その友人が信用している友人まで信用"しちゃだめでしょ?
同様に、”その友人が中が悪いだけ”で、”その友人が信用していない”のも理由にならない。別ルートで裏を取る。
例えばgo.jp とかのドメイン名を信用判断に加えるとか。CMで流してるドメインと同じかとか。
Re: (スコア:0)
大金払ってURLバーの色が緑だから信頼できるという、SSL業者の価格差マーケティングはもう10数年前に終わったしな
Re: (スコア:0)
基本は、目的のホスト名+HTTPS、なら安心していい、と言えるでしょ。
google.comのHTTPSなら安全だけど、HTTPSになってない(壊れてる)google.comは危険。
見知らぬホストなら、HTTPSであろうがなかろうが信頼はできない。
鍵で判断しようってのがそもそもの間違い。
# Googleも裏で何してるかわからんから安全とは言えないのでは、という反論は認める
Re:結局のところ (スコア:1)
基本的に「目的のホスト名」とやらが正しいのか何て殆ど分からんと思うんですが……
https://srad.co.jp/comment/3714313 [srad.co.jp] のコメントみてどう思う?
Re: (スコア:0)
サーバが見つかりませんでした。
あれー? と30秒ぐらい首をひねったよ…
Re: (スコア:0)
最近は、サブオプションの最初だけ無料なのを”無料”とでっかく書いてものをうる商法がはやってるらしいぞ。
インターネットはクーリングオフの対象ではないのでどうにもならないらしい。
儲けが費用を上回るならEVSSL買うくらいわけない。
Re: (スコア:0)
つまり比較的安全な手順としてはこれでいいんじゃない?
1. 複数のソースから大規模な DNS, CDN 攻撃が行われていないことを確認する。
2. google 等の大手検索サイトにブックマークからアクセスする。
3. 検索サイトの証明書が正しいことを確認する。
4. 対象サービスを検索して上位のサイトにアクセスする。
5. 対象のサイトの証明書が正しいことを確認する。
Re: (スコア:0)
ルータやらDNSハックされてたら、ホスト名が合っててHTTPSでも駄目だしなぁ。
ちょっと前もルート証明書もれてたとかもあるので証明書のシグネチャぐらいは覚えてないと駄目かも。
結局、これだけ見れば大丈夫と保証できるもんは無いし、かといって全部確認してまわってたら何も出来ない。
Re:結局のところ (スコア:1)
そのために証明書があるんじゃんw
いくらDNSハックされててもPCのルート証明書を改竄されてない限りはCN,OU,O,LとSANsのDNSは信用していいので。
逆に、どれかの情報が嘘だったら全く信用してはいけないし、OとかOUが欠けてたら信用性は低い。
Re:結局のところ (スコア:1)
> 証明書のシグネチャぐらいは覚えてないと駄目かも
もしかして:証明書の fingerprint (thumbprint)
証明書のシグネチャ(部分)はちょっと長いから覚えるのは辛いと思う。
Re: (スコア:0)
じゃあ結局、本当の意味での
「信頼できるサイトの見分け方」
って何なの?
で、信じる者はすくわれると
# 主に足元を
Re:結局のところ (スコア:1)
安全性の面では、.comより.co.jpの方がはるかに安全
少なくとも登記はされてるから実在証明の一部になり得る
フィッシングで○○-co.jpなんていう.co.jpもどきのドメインが使われるのも、
.co.jpが安全だと思っている人を騙すという目的もある
絶対的な指標ではないけど、複数の要素から安全性を確認するための一要素であるのは今でも変わらない
信用機関との調査と紐づけるしかないだろう (スコア:1)
「本物の」サーバ証明書を持つフィッシングサイト [srad.jp]の頃からずっと思ってたんだけど、証明書単体だけは役に立たないのは明らかなんだから、既存の信用調査機関と連携してどうにかするしかないと思うんだ。
世の中には、この企業は信用できるのかどうか調べるという需要があって、実際にそれを調査している機関が複数存在する。
そういった信用調査機関で一定以上の評価を得ていることが証明された企業だけに証明書を発行するCAがあれば良いと思うのだ。もちろん、その場合は信用調査費用もかかるわけで証明書の発行には大きな手間や費用が掛かってしまうことになるが、そうしないと商売における信用は確保できない。
実際問題として信用のおけるECサイトだと判断することのできる証明書は需要としてはある。
もともとEV証明書はそのような需要を満たすために作られたのだと思うんだけど、肝心の運用でちゃんとした信用調査を行わない運用にしてしまった。まあ、コスト面からできなかったのかもしれないけど、それじゃあ気休め程度の意味しかないだろうと思う。
#そしてこういうこと言うと「じゃあできたばかりの店や小さな店はどうするのか」とか言い出す人がいるんだよなぁ。
#なんでそんな店に信用がある、と思うのだろうかね……。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:信用機関との調査と紐づけるしかないだろう (スコア:2, おもしろおかしい)
信用できるサイトかどうかをランダムに選ばれたモデレーターが評価するのはどうだろう
ランダムだから意図して工作員になるのは難しいし、自身の評価が低いとモデレート権がまわってこないようにすれば十分な数のモデレートが集まった段階ではそれなりに信用できるようになると思う。
で、URLの横にそのサイトの評価を表示するの
http://srad.jp/ [srad.jp] (+2:不当プラスモデ)
http://trendmicro.co.jp/ [trendmicro.co.jp] (-1:フレームのもと)
みたいになれば分かりやすくね
Re:信用機関との調査と紐づけるしかないだろう (スコア:2)
それ、JWordプラグインって言いません?
Re: (スコア:0)
結局、新聞などの広告でURLを周知するというのが
Webサイトの信頼性を証明する最良の方法だったりする。
Re: (スコア:0)
そもそもツリー型の証明書チェーンがナンセンス極まりない。
友人が信用できるからといって、その友人が信用している友人まで信用できないのは、日常ではありふれた感覚だと思うのだが。
あるいは特定の友人についてだって、悩みを相談するのには助けになるが、金銭面ではまるであてにならない、なんてこともある。
技術的には色々できるようになったけど、一度作った仕組み(一度信用したものたち)をリセットするのは難しい。
Re: (スコア:0)
ツリーなら、腐った枝を切り落とせるので。
たまには、証明書ストアを確認しよう。
誰が言っているかが大事 (スコア:0)
誰が言っているかもセットで流布してほしい
セキュリティ専門家自身のホワイトリストも欲しいところ
Re: (スコア:0)
俺自身が使うためのオレオレについてまでどーこー言うのは勘弁してほしいわ
Re: (スコア:0)
スラドは信頼できるサイトですか?
Re: (スコア:0)
誤字脱字本文カットには定評のあるサイトですよ。
Re: (スコア:0)
誰が言っているかもセットで流布してほしい
セキュリティ専門家自身のホワイトリストも欲しいところ
ホワイトリストのホワイトリストの...
ってオチですねわかりますん
# 誰かの都合の真実なんぞいらん事実だけでいい
Re:誰が言っているかが大事 (スコア:1)
ほぅ。
それでは手始めにjbeef氏を買収してみてくれないか?
Re: (スコア:0)
無料の中ではキングソフトよいよね
Re: (スコア:0)
顧客「親会社に出すので、jbeef氏が買収されていないことを証明してくれ。結果は文書で。署名は必要だ。費用はそちら持ちで頼む」
Re: (スコア:0)
産○研から給料でてるうちはまぁ
本省から厄介な人が降りてこなければまぁ
Re: (スコア:0)
さすがにその全否定は極端すぎる
「アドレスバーが緑色になるサイトなら大丈夫」というのは無責任 (スコア:0)
そうだねGAFAなんて悪の権化だね。
Re: (スコア:0)
経路からは漏れませんが、サービス内では覗き放題
Re: (スコア:0)
いまはGの中(グローバルエッジからバックエンド行き)も全部TLSで括ってるはずだぞ
AFAは知らんけど
Re: (スコア:0)
NSAはTLSを既に攻略済みって認識でいないとね
Re: (スコア:0)
最近TLSを禁止せよって騒がないところをみると、主な実装に対して、目途はつけてあるとみていいとおもう。
その手法が漏れる日がXデー。
Re: (スコア:0)
WannaCryの例を引くまでもなくX-DAYはすぐそこ
おまいらちょっとはかくごしておけ
大手CDNサイトが当たり前のように詐欺サイトに証明書発行する時代 (スコア:0)
EVSSL証明書はともかく、一般のSSL証明書を使った詐欺サイトは、
クレカさえあれば10分で準備できる
複数のフィッシングサイトのSSL証明書を調べたところ、大手CDN業者が発行するSSL証明書を使ってた
Re: (スコア:0)
そもそもドメイン登録なしでネットショップのサイト作るだけならクレカすら要らず、誰か引っかかるまで口座登録すらいらないんじゃ
Re: (スコア:0)
> 大手CDN業者が発行するSSL証明書
それなのにTogetterではLet's Encryptばかりことさらに取り上げてて、率直に言って情弱っぷりは特任准教授と五十歩百歩だと思った