パスワードを忘れた? アカウント作成
17406636 story
暗号

日経XTECH曰く「SSL証明書の発行者がLet's Encryptならまず詐欺」 135

ストーリー by headless
詐欺 部門より
あるAnonymous Coward 曰く、

技術系メディアの日経クロステック (xTECH) が 4 日に公開した「偽サイトもアドレス欄に鍵マーク、証明書を確認してフィッシング詐欺を見抜こう」という記事が問題になっているので共有したい (はてなブックマーク)。

問題になっているのは、現代では SSL の有無だけで本物かどうか判断できないため証明書の種類を見るべきだとする以下のような記述。

このうち詐欺で悪用されるのがDV証明書。「Let's Encrypt」という認証局では無料で発行しており、フィッシング対策協議会によれば、一部の例外を除いて大半のフィッシングサイトでこの証明書が利用されているという。大手企業が利用するケースは考えにくい。ブラウザーの証明書ビューアーで、発行者が「Let's Encrypt」ならまず詐欺なので用心しよう。

これにセキュリティ専門家の徳丸氏が米大統領官邸ホワイトハウスのウェブサイト (www.whitehouse.gov) でも Let's Encrypt の証明書を使用していることや、詐欺サイトの大半が Let's Encrypt を使用しているからといって、Let's Encrypt を使用しているサイトの大半が詐欺サイトとはいえないことを指摘したのを始め、それでは判断できないという声が多々上がっている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ホワイトハウスも詐欺 (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2023年10月09日 16時50分 (#4542639)

    ホワイトハウスも詐欺みたいなものって事で正しいのでは?

  • by Anonymous Coward on 2023年10月09日 17時02分 (#4542651)

    実際には詐欺の片棒を担いで不適切に証明書を発行した認証局があったりしたからね

  • by Anonymous Coward on 2023年10月09日 16時59分 (#4542647)

    Google Trust Service [pki.goog]も無料で証明書を発行しているので使用しているサイトは詐欺サイト、
    という理屈でこのクソを書いた記者には罰としてGoogle断ちをしてもらいたいですね。
    YoutubeもGmailもGoogle Trust Serviceっすよ。

  • by Anonymous Coward on 2023年10月09日 17時04分 (#4542654)

    DV証明書しか用意出来ないような企業を利用するなってのは、大半の人にとっては正しいと思いますけれども。
    利益を目的としてWEBサイトを運営するなら、相手に信用される様に努力するのは、商習慣としてはMUSTですよね。
    ホワイトハウスが一般営利企業(.gov以外等)だったら、やっぱり信用してはいけないと思います。

    この記事文脈において「LE使ってるのは詐欺サイトだ」というのは、フィッシングが疑われるメール内での事というのは自明だと思うのですが、
    どうして「LE使ってるサイト全部詐欺サイト」という風に受け取られたんでしょうね。

    そもそもLEを使うつもりなら、誰かにサイト偽装されるリスクを考える必要があるので、適切な範囲で使うのは当たり前ですし、一般人にとっては真正性が気になる場合は、絶対に避けるべき証明書っていうのは事実でしょう。

    • by Anonymous Coward on 2023年10月10日 12時10分 (#4542930)

      一般人相手に証明書を見ろということが間違っている

      親コメント
  • by Anonymous Coward on 2023年10月09日 17時10分 (#4542655)

    無料だろうが有料だろうが申込者がドメインを操作できること以外は一切確認しない。
    大手の発行したDV証明書なら安全だとか誤解を招くので結構な有害情報。詐欺サイトは超大手のAmazonも多い。

    まぁ、セコムみたいにDV証明書を発行しない所なら一応は安全なのか。

    • by Anonymous Coward

      その悪用サイトの大半が Let's Encrypt だという情報が本当なら、有害とも言えないのでは?
      一般人はDV証明書なんて言われてもピンと来ないし、見分け方も分からないので、「発行元が Let's Encrypt なら個人情報入力するな」、ってのはあながち間違ってないかもしれない。

      少なくとも被害件数は減らせるかと。

      • by Anonymous Coward

        「発行元が Let's Encrypt なら個人情報入力するな」そのものが有害情報とは元コメの人も言ってないよ。
        「発行元が Let's Encrypt じゃなければ安心」という誤解を招くから有害情報 と言ってるんだよ。

        ピンとこない一般人の被害件数を減らしたいだけなら、「個人情報を入力するな」が一番まっとうな助言じゃないかな。

      • by Anonymous Coward

        AmazonやらZero SSLなんかも同様に使われるわけで、片手落ち過ぎて逆に有害。

  • by Anonymous Coward on 2023年10月09日 18時06分 (#4542665)

    銀行や証券会社は、EV SSL証明書を取得してることが多いので、
    Let's Encrypt だとフィッシングサイト率が高いのでは?

  • by Anonymous Coward on 2023年10月09日 18時10分 (#4542667)

    ・ドメイン認証のみの証明書
    ・組織認証の証明書
    ・厳格な組織認証の証明書(EV SSL証明書)

    多くのブラウザでは、この3つが容易に区別できるような実装にはなってない

    この3つが容易に区別がつく実装が増えないと、せっかくのEV SSLが役に立たない

  • by Anonymous Coward on 2023年10月09日 18時27分 (#4542671)

    いわゆる割れサイトでもここの暗号化使ってるしね。

  • by Anonymous Coward on 2023年10月09日 18時53分 (#4542685)

    サイトとクライアント間の通信暗号化のための証明書に何を期待しているんだか
    暗号通信が保証するのは繋いだ先との通信であってクライアントの頭の中の相手じゃない

    • by Anonymous Coward

      証明書は相手を証明するものだぞ
      暗号化はまた別の話だね
      誰と繋がっているか、それが正しい相手かどうか証明しようって話だから

      その為に例えば公的機関に登録して証明してもらうということになったけど
      最初はそれでよかった、必要なのは一部なので高い金払って証明する仕組みが機能していた
      しかし時は個人も含めて全て証明しろって話になって
      それなら有志が無料で出来る仕組みを作ったら
      犯罪組織もそれを使うことになってしまったということ
      もちろん犯罪組織も公的機関に金払って証明してもらってるところもあるだろうから
      それだけで安全かどうかの判断は出来ないけど

      • by Anonymous Coward

        httpsで使われる証明書はドメイン保有者と通信先が同じであることしか保証しないんでは
        だからオンラインとは別の手段で「このURLはうちですよ」と広めることの方が重要だった

  • by Anonymous Coward on 2023年10月09日 20時16分 (#4542712)

    OS標準のセキュリティでいいのに、○○バスターみたいな問題あるもの使わせる企業が減らないんだよ

typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...