アカウント名:
パスワード:
専用のエージェントソフトが必要というようなことが書いてあるので、恐らくドメイン認証はそのソフトが行うのだと思いますが、詳しい日本語の解説、どこかにないかな……。
ただ、この方法だと発行団体の実在性確認(登記簿謄本の確認)を行わないと思うので、信頼性に疑問があります。オレオレ証明書と大差ないような。
有名サイトのドメインをちょっと捩ったドメインを取得し、そのドメインの証明書をこのシステムで取得すれば、httpsのフィッシングサイトが容易に作れるのでは。
今まではフィッシングサイトが認証局発行の証明書を使ってhttpsサイトを立ち上げることはまずなかったので、「URLがhttpsで始まっているかどうか」を確認すれば大半のフィッシングサイトを避ける事ができたと思うのですが。
SSLを使って暗号化するためだけの目的なんだという理解です名前は証明書ですが、証明している内容は単に他の誰かとは違うということだけなのでは。
それだけだったら、オレオレ証明書で十分なのでは……。
TechCrunchの記事だと、まるでhttps通信の実装が凄いハードルの高い事のように読めてしまい、違和感を覚えます。
オレオレ証明書は偽証明書による中間者攻撃が可能なのでダメです。トラストチェーンは絶対必要。ただ、DNSSECでトラストチェーンを作る仕組みは検討されていたはず。これですね。DNS-based Authentication of Named Entitieshttp://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities [wikipedia.org]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
暗号化するのにお金を払わなければならない、という理由はないよね (スコア:2)
この取組ではISRGが正式な証明書発行を利用者に対して無償で行うのだろう。
詳しい審査が行われないので当然、証明書を持つ者や組織の真正性の担保はされない。(企業認証証明書の代わりにはならない)
とはいえ証明書を取ろうとしているのがドメインの所有者であるかは最低でも担保されないと困る。だからその審査を行いつつ、それでも無償でサービスするのだろうか。
つまり、現在は有償で行われているドメイン認証のSSL証明書発行を、無料にしようってことなのかな?
どんな仕組みで実現するのか、ちょっと興味があるかな。
作成した証明書を、whoisで登録されているメールアドレスに送りつける、とかだったら危険なような。
Re: (スコア:0)
専用のエージェントソフトが必要というようなことが
書いてあるので、恐らくドメイン認証はそのソフトが行うのだと
思いますが、詳しい日本語の解説、どこかにないかな……。
ただ、この方法だと発行団体の実在性確認(登記簿謄本の確認)
を行わないと思うので、信頼性に疑問があります。
オレオレ証明書と大差ないような。
有名サイトのドメインをちょっと捩ったドメインを取得し、
そのドメインの証明書をこのシステムで取得すれば、
httpsのフィッシングサイトが容易に作れるのでは。
今まではフィッシングサイトが認証局発行の証明書を使って
httpsサイトを立ち上げることはまずなかったので、
「URLがhttpsで始まっているかどうか」を確認すれば
大半のフィッシングサイトを避ける事ができたと思う
のですが。
Re: (スコア:0)
SSLを使って暗号化するためだけの目的なんだという理解です
名前は証明書ですが、証明している内容は単に他の誰かとは違うということだけなのでは。
Re:暗号化するのにお金を払わなければならない、という理由はないよね (スコア:0)
それだけだったら、オレオレ証明書で十分なのでは……。
TechCrunchの記事だと、まるでhttps通信の実装が
凄いハードルの高い事のように読めてしまい、
違和感を覚えます。
Re:暗号化するのにお金を払わなければならない、という理由はないよね (スコア:1)
オレオレ証明書は偽証明書による中間者攻撃が可能なのでダメです。トラストチェーンは絶対必要。
ただ、DNSSECでトラストチェーンを作る仕組みは検討されていたはず。これですね。
DNS-based Authentication of Named Entities
http://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities [wikipedia.org]