パスワードを忘れた? アカウント作成
14043139 story
インターネット

HTTPSやEV証明書を使っているのは「信頼できるサイト」なのか 92

ストーリー by hylom
何周目の議論だ 部門より

Abema TVやAbema TIMESの記事で「信頼できるサイトの見分け方」として、「アドレスバーにカギのアイコンが付いているかどうか」というものが紹介されたのだが、これに対し正しくないとの批判が寄せられている(Togetterまとめ)。

「アドレスバーにカギのアイコンが付いている」というのは、そのWebサイトがSSLを使っていることを示している。また、『カギのアイコンが付いているWebサイトで緑色になっていれば「ある程度の安全の指標」になるが「注意は必要だ」』ともコメントされている。これは、そのサイトがEV証明書を使用していることを示している。

EV証明書に関しては単にサイトの運営社名を保証するだけであり、「アドレスバーが緑色になるサイトなら大丈夫」というのは無責任であると2008年にセキュリティ研究者の高木浩光氏が解説しておりEV SSLを緑色だというだけで信用してはいけない実例も紹介している。また、氏は「実在証明の機能はTLS(SSL)の機能ではない」とも述べている。

  • by hakikuma (47737) on 2019年11月11日 17時14分 (#3714313)
    じゃあ結局、本当の意味での
    「信頼できるサイトの見分け方」
    って何なの?

    他人の批判ばかりしていないで教えてほしい。
    ここに返信
    • 「『緑色だから安全』ではなく会社名を確認しなさい」と言っているわけだが。

      • by Anonymous Coward

        > 会社名を確認しなさい

        まず、これが大きな間違い。
        会社名は安全ではない。

        • by Anonymous Coward

          ちゃんと登記されている会社で、フィッシングサイトではなくEV-SSLもバッチリだけど、単に悪徳企業とかね。

          • by Anonymous Coward

            「会社名を確認しなさい」っていうのは単に登記されてるかとか見ろという話しじゃなくて、
            信頼できる会社かチェックしろという意味でしょ・・・

            • by Anonymous Coward
              市役所のサイトに行ったらNTTデータとか書いてありました
              これは信用できない詐欺サイトに誘導されたということでいいですか?
              • by Anonymous Coward

                はい、信頼してはいけません。

                マジな話、外部に全部丸投げしてる結果なわけで本当に信頼出来ないよ、それ。

            • by Anonymous Coward

              社会人になって、有名企業の闇を目の当たりにして、信頼とはなんだろうと。
              まぁ、闇の深さでは官公庁がアレゲですが。

    • by accentor (48880) on 2019年11月11日 17時44分 (#3714336)

      最近のChrome(バージョン77以降)やFirefox(バージョン70以降)ではEV証明書でも緑色にならなくなったので、誰でも簡単に見分ける方法は、残念ですが減りつつあります。

      • by Anonymous Coward

        EV証明書の緑色と組織名表示であたかも誰でも簡単に見分けられるかのような幻想を与えるのが有害だから仕様が変わったんだよ。「残念ながら」と言っているようでは何もわかっていない

    • by bero (5057) on 2019年11月12日 0時48分 (#3714593) 日記

      人の話を鵜呑みにしないこと。
      自分で判断して自分なりの信頼基準を作ること。

      友人・知人になる時とかも、そうじゃありませんか?

    • by Anonymous Coward

      大金払ってURLバーの色が緑だから信頼できるという、SSL業者の価格差マーケティングはもう10数年前に終わったしな

    • by Anonymous Coward

      基本は、目的のホスト名+HTTPS、なら安心していい、と言えるでしょ。
      google.comのHTTPSなら安全だけど、HTTPSになってない(壊れてる)google.comは危険。

      見知らぬホストなら、HTTPSであろうがなかろうが信頼はできない。
      鍵で判断しようってのがそもそもの間違い。

      # Googleも裏で何してるかわからんから安全とは言えないのでは、という反論は認める

      • by Anonymous Coward on 2019年11月11日 19時04分 (#3714404)

        基本的に「目的のホスト名」とやらが正しいのか何て殆ど分からんと思うんですが……
        https://srad.co.jp/comment/3714313 [srad.co.jp] のコメントみてどう思う?

        • by Anonymous Coward

          サーバが見つかりませんでした。

          あれー? と30秒ぐらい首をひねったよ…

      • by Anonymous Coward

        最近は、サブオプションの最初だけ無料なのを”無料”とでっかく書いてものをうる商法がはやってるらしいぞ。
        インターネットはクーリングオフの対象ではないのでどうにもならないらしい。
        儲けが費用を上回るならEVSSL買うくらいわけない。

      • by Anonymous Coward

        つまり比較的安全な手順としてはこれでいいんじゃない?
        1. 複数のソースから大規模な DNS, CDN 攻撃が行われていないことを確認する。
        2. google 等の大手検索サイトにブックマークからアクセスする。
        3. 検索サイトの証明書が正しいことを確認する。
        4. 対象サービスを検索して上位のサイトにアクセスする。
        5. 対象のサイトの証明書が正しいことを確認する。

      • by Anonymous Coward

        ルータやらDNSハックされてたら、ホスト名が合っててHTTPSでも駄目だしなぁ。
        ちょっと前もルート証明書もれてたとかもあるので証明書のシグネチャぐらいは覚えてないと駄目かも。

        結局、これだけ見れば大丈夫と保証できるもんは無いし、かといって全部確認してまわってたら何も出来ない。

        • by Anonymous Coward on 2019年11月12日 2時19分 (#3714609)

          そのために証明書があるんじゃんw
          いくらDNSハックされててもPCのルート証明書を改竄されてない限りはCN,OU,O,LとSANsのDNSは信用していいので。

          逆に、どれかの情報が嘘だったら全く信用してはいけないし、OとかOUが欠けてたら信用性は低い。

        • by nim (10479) on 2019年11月12日 12時38分 (#3714810)

          > 証明書のシグネチャぐらいは覚えてないと駄目かも

          もしかして:証明書の fingerprint (thumbprint)
          証明書のシグネチャ(部分)はちょっと長いから覚えるのは辛いと思う。

    • by Anonymous Coward

      じゃあ結局、本当の意味での
      「信頼できるサイトの見分け方」
      って何なの?

      で、信じる者はすくわれると

      # 主に足元を

  • 「本物の」サーバ証明書を持つフィッシングサイト [srad.jp]の頃からずっと思ってたんだけど、証明書単体だけは役に立たないのは明らかなんだから、既存の信用調査機関と連携してどうにかするしかないと思うんだ。

    世の中には、この企業は信用できるのかどうか調べるという需要があって、実際にそれを調査している機関が複数存在する。
    そういった信用調査機関で一定以上の評価を得ていることが証明された企業だけに証明書を発行するCAがあれば良いと思うのだ。もちろん、その場合は信用調査費用もかかるわけで証明書の発行には大きな手間や費用が掛かってしまうことになるが、そうしないと商売における信用は確保できない。

    実際問題として信用のおけるECサイトだと判断することのできる証明書は需要としてはある。
    もともとEV証明書はそのような需要を満たすために作られたのだと思うんだけど、肝心の運用でちゃんとした信用調査を行わない運用にしてしまった。まあ、コスト面からできなかったのかもしれないけど、それじゃあ気休め程度の意味しかないだろうと思う。

    #そしてこういうこと言うと「じゃあできたばかりの店や小さな店はどうするのか」とか言い出す人がいるんだよなぁ。
    #なんでそんな店に信用がある、と思うのだろうかね……。

    ここに返信
    • by Anonymous Coward on 2019年11月12日 8時16分 (#3714668)
      いいこと思いついた。
      信用できるサイトかどうかをランダムに選ばれたモデレーターが評価するのはどうだろう
      ランダムだから意図して工作員になるのは難しいし、自身の評価が低いとモデレート権がまわってこないようにすれば十分な数のモデレートが集まった段階ではそれなりに信用できるようになると思う。
      で、URLの横にそのサイトの評価を表示するの
      http://srad.jp/ [srad.jp] (+2:不当プラスモデ)
      http://trendmicro.co.jp/ [trendmicro.co.jp] (-1:フレームのもと)
      みたいになれば分かりやすくね
    • それ、JWordプラグインって言いません?

    • by Anonymous Coward

      結局、新聞などの広告でURLを周知するというのが
      Webサイトの信頼性を証明する最良の方法だったりする。

    • by Anonymous Coward

      そもそもツリー型の証明書チェーンがナンセンス極まりない。
      友人が信用できるからといって、その友人が信用している友人まで信用できないのは、日常ではありふれた感覚だと思うのだが。
      あるいは特定の友人についてだって、悩みを相談するのには助けになるが、金銭面ではまるであてにならない、なんてこともある。

      技術的には色々できるようになったけど、一度作った仕組み(一度信用したものたち)をリセットするのは難しい。

      • by Anonymous Coward

        ツリーなら、腐った枝を切り落とせるので。
        たまには、証明書ストアを確認しよう。

  • by Anonymous Coward on 2019年11月11日 17時11分 (#3714310)

    誰が言っているかもセットで流布してほしい
    セキュリティ専門家自身のホワイトリストも欲しいところ

    ここに返信
    • by Anonymous Coward

      俺自身が使うためのオレオレについてまでどーこー言うのは勘弁してほしいわ

    • by Anonymous Coward

      スラドは信頼できるサイトですか?

      • by Anonymous Coward

        誤字脱字本文カットには定評のあるサイトですよ。

    • by Anonymous Coward

      誰が言っているかもセットで流布してほしい
      セキュリティ専門家自身のホワイトリストも欲しいところ

      ホワイトリストのホワイトリストの...
      ってオチですねわかりますん

      # 誰かの都合の真実なんぞいらん事実だけでいい

  • そうだねGAFAなんて悪の権化だね。

    ここに返信
    • by Anonymous Coward

      経路からは漏れませんが、サービス内では覗き放題

      • by Anonymous Coward

        いまはGの中(グローバルエッジからバックエンド行き)も全部TLSで括ってるはずだぞ
        AFAは知らんけど

        • by Anonymous Coward

          NSAはTLSを既に攻略済みって認識でいないとね

          • by Anonymous Coward

            最近TLSを禁止せよって騒がないところをみると、主な実装に対して、目途はつけてあるとみていいとおもう。
            その手法が漏れる日がXデー。

            • by Anonymous Coward

              WannaCryの例を引くまでもなくX-DAYはすぐそこ
              おまいらちょっとはかくごしておけ

  • EVSSL証明書はともかく、一般のSSL証明書を使った詐欺サイトは、
    クレカさえあれば10分で準備できる

    複数のフィッシングサイトのSSL証明書を調べたところ、大手CDN業者が発行するSSL証明書を使ってた

    ここに返信
    • by Anonymous Coward

      そもそもドメイン登録なしでネットショップのサイト作るだけならクレカすら要らず、誰か引っかかるまで口座登録すらいらないんじゃ

    • by Anonymous Coward

      > 大手CDN業者が発行するSSL証明書

      それなのにTogetterではLet's Encryptばかりことさらに取り上げてて、率直に言って情弱っぷりは特任准教授と五十歩百歩だと思った

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...