日経XTECH曰く「SSL証明書の発行者がLet's Encryptならまず詐欺」 135
ストーリー by headless
詐欺 部門より
詐欺 部門より
あるAnonymous Coward 曰く、
技術系メディアの日経クロステック (xTECH) が 4 日に公開した「偽サイトもアドレス欄に鍵マーク、証明書を確認してフィッシング詐欺を見抜こう」という記事が問題になっているので共有したい (はてなブックマーク)。
問題になっているのは、現代では SSL の有無だけで本物かどうか判断できないため証明書の種類を見るべきだとする以下のような記述。このうち詐欺で悪用されるのがDV証明書。「Let's Encrypt」という認証局では無料で発行しており、フィッシング対策協議会によれば、一部の例外を除いて大半のフィッシングサイトでこの証明書が利用されているという。大手企業が利用するケースは考えにくい。ブラウザーの証明書ビューアーで、発行者が「Let's Encrypt」ならまず詐欺なので用心しよう。
これにセキュリティ専門家の徳丸氏が米大統領官邸ホワイトハウスのウェブサイト (www.whitehouse.gov) でも Let's Encrypt の証明書を使用していることや、詐欺サイトの大半が Let's Encrypt を使用しているからといって、Let's Encrypt を使用しているサイトの大半が詐欺サイトとはいえないことを指摘したのを始め、それでは判断できないという声が多々上がっている。
ホワイトハウスも詐欺 (スコア:3, おもしろおかしい)
ホワイトハウスも詐欺みたいなものって事で正しいのでは?
認証局じゃ判断できない (スコア:1)
実際には詐欺の片棒を担いで不適切に証明書を発行した認証局があったりしたからね
Re:認証局じゃ判断できない (スコア:1)
Google (スコア:0)
Google Trust Service [pki.goog]も無料で証明書を発行しているので使用しているサイトは詐欺サイト、
という理屈でこのクソを書いた記者には罰としてGoogle断ちをしてもらいたいですね。
YoutubeもGmailもGoogle Trust Serviceっすよ。
一般人相手には正しい気がする (スコア:0, すばらしい洞察)
DV証明書しか用意出来ないような企業を利用するなってのは、大半の人にとっては正しいと思いますけれども。
利益を目的としてWEBサイトを運営するなら、相手に信用される様に努力するのは、商習慣としてはMUSTですよね。
ホワイトハウスが一般営利企業(.gov以外等)だったら、やっぱり信用してはいけないと思います。
この記事文脈において「LE使ってるのは詐欺サイトだ」というのは、フィッシングが疑われるメール内での事というのは自明だと思うのですが、
どうして「LE使ってるサイト全部詐欺サイト」という風に受け取られたんでしょうね。
そもそもLEを使うつもりなら、誰かにサイト偽装されるリスクを考える必要があるので、適切な範囲で使うのは当たり前ですし、一般人にとっては真正性が気になる場合は、絶対に避けるべき証明書っていうのは事実でしょう。
Re:一般人相手には正しい気がする (スコア:3, すばらしい洞察)
一般人相手に証明書を見ろということが間違っている
Re: (スコア:0)
横からだが、典型的な印象操作で笑うわ。
自信持って論破しろよ。
Re:一般人相手には正しい気がする (スコア:1)
まあ、「オンラインバンキングではEV証明書でその銀行名が表示されていることを確認しましょう」は NTTデータのせいで成り立たないのはそう。
てか、普通に銀行にEV証明書とってもらってそれを使うような仕組みにすればよかった。そんなところ手を抜くべきじゃないのに。
Re:一般人相手には正しく説明すべき (スコア:1)
審査の緩い国や税金の安い国で法人を作ることで、"Amazon Inc." と名乗るEV証明書を取れてしまったり、"Anazon Inc." と名乗るEV証明書を取れてしまったり、はたまた "MS Support Center" を名乗るEV証明書を使ってMicrosoftを装う、といった事例が多発したため。
EV証明書の名義は信用ならない→ブラックリストで排除した方がマシとされて、名義の表示やEVの表示を表立ってしなくなった。
DV証明書 (スコア:0)
無料だろうが有料だろうが申込者がドメインを操作できること以外は一切確認しない。
大手の発行したDV証明書なら安全だとか誤解を招くので結構な有害情報。詐欺サイトは超大手のAmazonも多い。
まぁ、セコムみたいにDV証明書を発行しない所なら一応は安全なのか。
Re: (スコア:0)
その悪用サイトの大半が Let's Encrypt だという情報が本当なら、有害とも言えないのでは?
一般人はDV証明書なんて言われてもピンと来ないし、見分け方も分からないので、「発行元が Let's Encrypt なら個人情報入力するな」、ってのはあながち間違ってないかもしれない。
少なくとも被害件数は減らせるかと。
Re: (スコア:0)
「発行元が Let's Encrypt なら個人情報入力するな」そのものが有害情報とは元コメの人も言ってないよ。
「発行元が Let's Encrypt じゃなければ安心」という誤解を招くから有害情報 と言ってるんだよ。
ピンとこない一般人の被害件数を減らしたいだけなら、「個人情報を入力するな」が一番まっとうな助言じゃないかな。
Re: (スコア:0)
AmazonやらZero SSLなんかも同様に使われるわけで、片手落ち過ぎて逆に有害。
銀行や証券会社なら当たってるのでは? (スコア:0)
銀行や証券会社は、EV SSL証明書を取得してることが多いので、
Let's Encrypt だとフィッシングサイト率が高いのでは?
Re: (スコア:0)
EVもパッと見わからなくなったからな。
逸般人相手に「証明書の情報開いて発行先の組織名(O)が入っていることと発行元の一般名(CN)にEVって文字列が入っていることを確認しましょう」って無理やろ。
Re:銀行や証券会社なら当たってるのでは? (スコア:1)
> 逸般人相手に
そこは一般人じゃねえとダメだろ・・・
Re: (スコア:0)
それを自動化できないのかな?
Re:銀行や証券会社なら当たってるのでは? (スコア:1)
じゃあ他にどんな方法があるんだと言われたらないやろ。
他に方法が無いくせに妥協案にケチをつけるだけだから理系脳とか言われる。
ブラウザで証明書の区別がつかないのが悪い (スコア:0)
・ドメイン認証のみの証明書
・組織認証の証明書
・厳格な組織認証の証明書(EV SSL証明書)
多くのブラウザでは、この3つが容易に区別できるような実装にはなってない
この3つが容易に区別がつく実装が増えないと、せっかくのEV SSLが役に立たない
Re:ブラウザで証明書の区別がつかないのが悪い (スコア:3, すばらしい洞察)
そもそもSSL(TLS)証明書の目的は「通信経路を第三者に傍受・改竄されない」ことなんだよね。
そんで、通信したい相手との間に、第三者が入ってリレーされたら困るから、証明局も絡むだけで。
なので「証明書で相手の素性を判断する」こと自体、副次的な用途でしかないから、主目的にするのがおかしいのでは。
Re: (スコア:0)
確かに。
その理屈だと、EV SSL証明書って意味があるようで本質的には意味がないのではないかという気がする。
Re:ブラウザで証明書の区別がつかないのが悪い (スコア:1)
いや気がするってもう2023年も終わろうとしているのに。
それにブラウザがEV証明書の特別扱いやめたの何年前だよ。
https://security.srad.jp/story/19/11/11/1632250/ [security.srad.jp]
2019年時点でこんな話してたりするし。
Re:ブラウザで証明書の区別がつかないのが悪い (スコア:1)
EV SSL証明書をいくら見たって相手の素性の真正性の担保は出来ないというとっくに終わった議論を理解できないのかね?
Re: (スコア:0)
2019年まではEV SSLだとアドレスバー緑にしてたりしたけど、意味ないし、意味があっても逆効果だってんでやめたわけだけどね。
厳格な組織認証ってco.jpとるのと比べてどれくらいハードル上がるわけ、って気もするけど。
https://www.nic.ad.jp/sc-sendai/program/iwsc-sendai-d2-5.pdf [nic.ad.jp]
Re: (スコア:0)
以前はEV証明書の組織名がアドレスバー先頭に緑色で表示されてたんだけどね。
現在のChromium系ブラウザは、EV証明書であることを確認する手続きとしては下記デグレ措置?よりも更に一手を要す構成になってしまった。
参考: https://chromium.googlesource.com/chromium/src/+/HEAD/docs/security/ev... [googlesource.com]
Re:ブラウザで証明書の区別がつかないのが悪い (スコア:1)
EV証明書の組織名の表示が案外役に立たないのではないかという理由もいろいろあった。
https://jovi0608.hatenablog.com/entry/2019/08/12/095854 [hatenablog.com]
自分が興味深いと思ったのは、アメリカで別の州で同じ名前の法人を設立できる、それで一見同じ組織名のEV証明書を作れるという話。
Re: (スコア:0)
別にEVSSLだろうが詐欺会社なら取れるわけで、なんの意味もない。実在して登記もしている詐欺会社が、
いつの間にかオフィスも移転して所在不明になっていても気づけないから。
ホワイトリスト形式で認証サイト以外は全て警告の方がまだいい。
まあ、わからないでもない (スコア:0)
いわゆる割れサイトでもここの暗号化使ってるしね。
わけがわからないよ (スコア:0)
サイトとクライアント間の通信暗号化のための証明書に何を期待しているんだか
暗号通信が保証するのは繋いだ先との通信であってクライアントの頭の中の相手じゃない
Re: (スコア:0)
証明書は相手を証明するものだぞ
暗号化はまた別の話だね
誰と繋がっているか、それが正しい相手かどうか証明しようって話だから
その為に例えば公的機関に登録して証明してもらうということになったけど
最初はそれでよかった、必要なのは一部なので高い金払って証明する仕組みが機能していた
しかし時は個人も含めて全て証明しろって話になって
それなら有志が無料で出来る仕組みを作ったら
犯罪組織もそれを使うことになってしまったということ
もちろん犯罪組織も公的機関に金払って証明してもらってるところもあるだろうから
それだけで安全かどうかの判断は出来ないけど
Re: (スコア:0)
httpsで使われる証明書はドメイン保有者と通信先が同じであることしか保証しないんでは
だからオンラインとは別の手段で「このURLはうちですよ」と広めることの方が重要だった
こういう輩がいるから (スコア:0)
OS標準のセキュリティでいいのに、○○バスターみたいな問題あるもの使わせる企業が減らないんだよ
Re:まず疑う (スコア:2, おもしろおかしい)
詐欺師の大半が歩いているんで、歩いている人は皆疑うべきですね
Re:まず疑う (スコア:2, 興味深い)
(情報系じゃない)セキュリティのプロの講演会に行ったことがあるが、内容は「半径数メートル以内に近づいてくる奴は全部疑え。気を抜くな」だったぞ。
Re: (スコア:0)
だって、後ろから指の動きでパスワード盗まれるでしょ。
俺は覗くよ。
Re: (スコア:0)
そうですね
通り魔の可能性もありますしね
Re: (スコア:0)
詐欺師の大半は呼吸をしているので、呼吸をしている人は皆疑うべきですね
Re: (スコア:0)
詐欺師の大半はDHMOを飲んでいるので、DHMOを飲んでいる人は皆疑うべきですね
Re:まず疑う (スコア:1)
// 死せる孔明生ける仲達を走らす(ぼそ
Re: (スコア:0)
人を見たら泥棒と思え
Re:まず疑う (スコア:1)
詳しくない人には、どんな証明書だろうとまず疑えが正しいのでは。Let's Encryptを使わない詐欺サイトもあるので
Re: (スコア:0)
「インターネットやめろ」のほうが実践しやすいのになぁ。
Re:まず疑う (スコア:1)
全てを疑っても区別がつかないのでは意味がないんですよね、実は。
Re:まず疑う (スコア:1)
なんとも微妙な言い回しだと思った。相対的に詐欺サイトのパーセンテージは高いのかもしれないが…
ただ、判断すべきポイントは正直そこじゃない。Let's Encryptじゃないからセーフ?のような判断はとても危うい。
一般人向けの簡単な方法もあるよ (スコア:1)
ホワイトハウスなどがLet's Encryptを使っているのは、ドメインが信頼できるから。
詐欺サイトはgovドメインを取れないからね。
同じようにgo.jpとかlg.jpも詐欺サイトは取得できない。
だから、一般向けには「Let's Encryptを使っていて、govやgo.jp、lg.jp以外のアドレスは注意」みたいな啓蒙でいいと思う。
一般人と言っても、Let's Encryptかどうかを調べられるぐらいの人は、政府系のドメインかどうかぐらいは調べられるでしょ。
Re: (スコア:0)
let's encrypt 以外の証明書販売業者の資本の入った記事にしか見えないな。
EV証明書かを確認しろと言う話ですらないし、単にかけた費用の違いでしかなく、実質的な信頼性に差がない。
Re:まず疑う (スコア:1)
詳しくない人にどうやって証明書を確認させるんですかw
Re: (スコア:0)
証明書があったからって必ずしも
って説明でよかったと思うけど
そもそも近くの独裁国家では、好き勝手で何でもできるからなぁ
そんな国家の方がサイバー空間に力も金もかけてる現実があるんだよな
Re: (スコア:0)
「銀行とか、ショッピングサイト」にしかフィッシングサイトがないと思っているからあなたこそ勘違い。
日本だとマイナポイントなんかでフィッシングサイトあるよ。
例で提示されたように政府公式のサイトでも利用されてるんだからやっぱり言っていることが破綻している。
Re: (スコア:0)
シッピングサイトはLet's Encryptも普通でしょうに。