アカウント名:
パスワード:
専用のエージェントソフトが必要というようなことが書いてあるので、恐らくドメイン認証はそのソフトが行うのだと思いますが、詳しい日本語の解説、どこかにないかな……。
ただ、この方法だと発行団体の実在性確認(登記簿謄本の確認)を行わないと思うので、信頼性に疑問があります。オレオレ証明書と大差ないような。
有名サイトのドメインをちょっと捩ったドメインを取得し、そのドメインの証明書をこのシステムで取得すれば、httpsのフィッシングサイトが容易に作れるのでは。
今まではフィッシングサイトが認証局発行の証明書を使ってhttpsサイトを立ち上げることはまずなかったので、「URLがhttpsで始まっているかどうか」を確認すれば大半のフィッシングサイトを避ける事ができたと思うのですが。
訪問者視点からは、手動での承認がいらないオレオレ証明書だろうとは思います。
EV SSL だとURLバーの表示が変わるのの逆で、このCAから発行されたSSLのサイトは、URLバーがhttpのサイトと同じような表示になる、みたいな機能が実装されたりして。
普通に DV SSL かと。 Domain ValidationRapidSSL と PositiveSSL ユーザーとしては使い勝手変わらんかなと思いつつ。
SSLを使って暗号化するためだけの目的なんだという理解です名前は証明書ですが、証明している内容は単に他の誰かとは違うということだけなのでは。
それだけだったら、オレオレ証明書で十分なのでは……。
TechCrunchの記事だと、まるでhttps通信の実装が凄いハードルの高い事のように読めてしまい、違和感を覚えます。
オレオレ証明書は偽証明書による中間者攻撃が可能なのでダメです。トラストチェーンは絶対必要。ただ、DNSSECでトラストチェーンを作る仕組みは検討されていたはず。これですね。DNS-based Authentication of Named Entitieshttp://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities [wikipedia.org]
httpsが一般化して、信頼性を上げるために実在証明のEV SSLの普及が進むのは良いことだと思いますけどね。
たしかにおっしゃるとおりですけど、今でも格安証明書では登記簿謄本のチェックなんてしていませんね事実上無チェックですフィッシングサイトでも簡単に証明書とれると思います
> 今でも格安証明書では登記簿謄本のチェックなんてしていませんねだから現状でも「実在証明」が要求される案件では使えない。というのは当然の前提として。逆に、「自分が管理しているドメイン」に関して自分が使う分には問題ないだろう。
> フィッシングサイトでも簡単に証明書とれると思いますご自分が直前で書いているとおり、現状でも簡単に取れるので、それを理由に批難しても、それがなにか、としか。
ん?
> > フィッシングサイトでも簡単に証明書とれると思います> ご自分が直前で書いているとおり、現状でも簡単に取れるので、それを理由に批難しても、それがなにか、としか。
直前も何も、(現状でも)フィッシングサイトでも簡単に証明書とれる、と言っているんだと思うが。
えっ現状でも簡単に取れるので、証明書が簡単に取れるという理由での「Let's Encrypt」批判は筋が通らない、という意味じゃないの?
> 「URLがhttpsで始まっているかどうか」を確認すればいままでだって、これだけでは何の意味もない確認だと思います。これではフィッシングサイトを避けられませんよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
暗号化するのにお金を払わなければならない、という理由はないよね (スコア:2)
この取組ではISRGが正式な証明書発行を利用者に対して無償で行うのだろう。
詳しい審査が行われないので当然、証明書を持つ者や組織の真正性の担保はされない。(企業認証証明書の代わりにはならない)
とはいえ証明書を取ろうとしているのがドメインの所有者であるかは最低でも担保されないと困る。だからその審査を行いつつ、それでも無償でサービスするのだろうか。
つまり、現在は有償で行われているドメイン認証のSSL証明書発行を、無料にしようってことなのかな?
どんな仕組みで実現するのか、ちょっと興味があるかな。
作成した証明書を、whoisで登録されているメールアドレスに送りつける、とかだったら危険なような。
Re:暗号化するのにお金を払わなければならない、という理由はないよね (スコア:0)
専用のエージェントソフトが必要というようなことが
書いてあるので、恐らくドメイン認証はそのソフトが行うのだと
思いますが、詳しい日本語の解説、どこかにないかな……。
ただ、この方法だと発行団体の実在性確認(登記簿謄本の確認)
を行わないと思うので、信頼性に疑問があります。
オレオレ証明書と大差ないような。
有名サイトのドメインをちょっと捩ったドメインを取得し、
そのドメインの証明書をこのシステムで取得すれば、
httpsのフィッシングサイトが容易に作れるのでは。
今まではフィッシングサイトが認証局発行の証明書を使って
httpsサイトを立ち上げることはまずなかったので、
「URLがhttpsで始まっているかどうか」を確認すれば
大半のフィッシングサイトを避ける事ができたと思う
のですが。
Re:暗号化するのにお金を払わなければならない、という理由はないよね (スコア:2)
訪問者視点からは、手動での承認がいらないオレオレ証明書だろうとは思います。
EV SSL だとURLバーの表示が変わるのの逆で、
このCAから発行されたSSLのサイトは、URLバーがhttpのサイトと同じような表示になる、
みたいな機能が実装されたりして。
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
Re: (スコア:0)
普通に DV SSL かと。 Domain Validation
RapidSSL と PositiveSSL ユーザーとしては使い勝手変わらんかなと思いつつ。
Re: (スコア:0)
SSLを使って暗号化するためだけの目的なんだという理解です
名前は証明書ですが、証明している内容は単に他の誰かとは違うということだけなのでは。
Re: (スコア:0)
それだけだったら、オレオレ証明書で十分なのでは……。
TechCrunchの記事だと、まるでhttps通信の実装が
凄いハードルの高い事のように読めてしまい、
違和感を覚えます。
Re:暗号化するのにお金を払わなければならない、という理由はないよね (スコア:1)
オレオレ証明書は偽証明書による中間者攻撃が可能なのでダメです。トラストチェーンは絶対必要。
ただ、DNSSECでトラストチェーンを作る仕組みは検討されていたはず。これですね。
DNS-based Authentication of Named Entities
http://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities [wikipedia.org]
Re: (スコア:0)
httpsが一般化して、信頼性を上げるために実在証明のEV SSLの普及が進むのは良いことだと思いますけどね。
Re: (スコア:0)
たしかにおっしゃるとおりですけど、今でも格安証明書では登記簿謄本のチェックなんてしていませんね
事実上無チェックです
フィッシングサイトでも簡単に証明書とれると思います
Re: (スコア:0)
> 今でも格安証明書では登記簿謄本のチェックなんてしていませんね
だから現状でも「実在証明」が要求される案件では使えない。というのは当然の前提として。
逆に、「自分が管理しているドメイン」に関して自分が使う分には問題ないだろう。
> フィッシングサイトでも簡単に証明書とれると思います
ご自分が直前で書いているとおり、現状でも簡単に取れるので、それを理由に批難しても、それがなにか、としか。
Re: (スコア:0)
ん?
> > フィッシングサイトでも簡単に証明書とれると思います
> ご自分が直前で書いているとおり、現状でも簡単に取れるので、それを理由に批難しても、それがなにか、としか。
直前も何も、(現状でも)フィッシングサイトでも簡単に証明書とれる、と言っているんだと思うが。
Re: (スコア:0)
えっ
現状でも簡単に取れるので、証明書が簡単に取れるという理由での「Let's Encrypt」批判は筋が通らない、という意味じゃないの?
Re: (スコア:0)
> 「URLがhttpsで始まっているかどうか」を確認すれば
いままでだって、これだけでは何の意味もない確認だと思います。
これではフィッシングサイトを避けられませんよ。