Mozilla、Symantecが発行した証明書の信頼性回復に関する議論に参戦 86
ストーリー by headless
参戦 部門より
参戦 部門より
Symantecおよびパートナー企業が発行したSSL/TLS証明書の信頼性回復に関する議論にMozillaも参加するようだ。MozillaのGervase Markham氏がSymantecに対する提案の素案を公表し、Googleグループで検討が進められている(素案、
Googleグループ投稿、
The Registerの記事)。
Symantecが運営する認証局の過去2~3年にわたる問題はMozillaでも認識しており、調査を進めていたという。問題は2015年に発生したテスト証明書数千件の誤発行をはじめ、パートナー企業での問題を把握せずに放置していた点などが挙げられており、SymantecがCA/Browser ForumのBaseline Requrementなど業界の指針やベストプラクティスに従わず、顧客の利便性を優先してきたなどと批判している。
Markham氏はSymantecの提案による監査強化などの対策について、適切に実施されるかどうか保証がなく、信頼性の回復につなげるのは難しいと述べるなど、提案の実効性について疑問を呈する。その一方で、Googleによる2番目の提案、Symantecが公開鍵基盤(PKI)を刷新して証明書の発行を適切に管理できるようにすることを支持している。
SymantecがPKI刷新を受け入れない場合、PKIヒエラルキーをすべて含み、傘下のCAを含め発行可能な証明書の種類などを記入した組織図の提供を求めている。一方、EV証明書のEVステータス無効化は不要であるとし、証明書の有効期限はGoogleが提案する最長9か月に対し、最長13か月にすると述べている。
Symantecが運営する認証局の過去2~3年にわたる問題はMozillaでも認識しており、調査を進めていたという。問題は2015年に発生したテスト証明書数千件の誤発行をはじめ、パートナー企業での問題を把握せずに放置していた点などが挙げられており、SymantecがCA/Browser ForumのBaseline Requrementなど業界の指針やベストプラクティスに従わず、顧客の利便性を優先してきたなどと批判している。
Markham氏はSymantecの提案による監査強化などの対策について、適切に実施されるかどうか保証がなく、信頼性の回復につなげるのは難しいと述べるなど、提案の実効性について疑問を呈する。その一方で、Googleによる2番目の提案、Symantecが公開鍵基盤(PKI)を刷新して証明書の発行を適切に管理できるようにすることを支持している。
SymantecがPKI刷新を受け入れない場合、PKIヒエラルキーをすべて含み、傘下のCAを含め発行可能な証明書の種類などを記入した組織図の提供を求めている。一方、EV証明書のEVステータス無効化は不要であるとし、証明書の有効期限はGoogleが提案する最長9か月に対し、最長13か月にすると述べている。
なぜ、Google はユーザーが「認証局名」を確認する手段を奪ったのか? (スコア:5, 参考になる)
Google ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化を提案する [security.srad.jp] など、大手認証局の問題点を指摘していること自体は、Google 自身もルート認証局 [mynavi.jp] なことから中立性に疑問はあるものの、指摘の内容は今のところは評価できます。
しかし、その一方で、ここ最近(数か月~1年前ぐらい?)のアップデートで、Google Chrome (Windows 版) から、ユーザーが認証局名(証明書)を確認するための UI が削除されてしまいました。
どの認証局を信頼するかの決定権は、ブラウザベンダーではなく、ユーザーにあるべきです。にも関わらず、わざわざアップデートでユーザーが認証局名を簡単に確認できなくした Google の対応には大きな問題があると思います。ブラウザベンダーであり、自身もルート認証局を持っている Google が、信頼する認証局を判断する全権を握る「神」に近い存在になったのは、恐ろしすぎます。
例えば、みずほ銀行のトップページ [mizuhobank.co.jp] にアクセスした時、
緑色のアドレスバーに「Mizuho Bank, Ltd. [JP]」と「Cybertrust Global Root によって認証」(認証局名)が交互に表示され、
錠アイコンや左記表示をクリックして表示される画面には、認証局名とみずほ銀行の住所地が表示される。
緑色のアドレスバーに「Mizuho Bank, Ltd. [JP]」と表示され、錠アイコンや左記表示をクリックして表示される画面には、認証局名「Cybertrust Global Root」とみずほ銀行の住所地が表示される。
緑色のアドレスバーに「Mizuho Bank, Ltd. (JP)」と表示され、錠アイコンや左記表示をクリック→接続の安全性ステータスの「→」をクリックして表示される画面には、認証局名「Cybertrust Japan Co., Ltd.」とみずほ銀行の住所地が表示される。
と、ユーザーが容易に認証局名を確認することができます。
一方、Google Chrome 最新版だと、緑色のアドレスバーに「Mizuho Bank, Ltd. [JP]」と表示されるものの、錠アイコンや左記表示をクリックしても「保護された接続 お客様がこのサイトに送信した情報(パスワード、クレジット カード番号など)が第三者に見られることはありません。詳しく見る [google.com]」と表示されるだけで、認証局名を確認することができません。詳しく見る [google.com] をクリックしてもヘルプページに飛ぶだけです。
# ちなみに、Google Chrome でも一応 GUI から証明書を確認することはできますが、「右上のハンバーガーアイコン」→「その他のツール」→「デベロッパー ツール」→「Security」→「View certificate」と、途中で「デベロッパー ツール」を起動する必要があり、一般ユーザー向けの確認手段ではありません(Web開発者向けの方法です)。
怪しいサイトの峻別はデベロッパーツールの方が確実 (スコア:2)
つーか,怪しいサイト表示するときって,デベロッパーツール立ち上げません?普通。
Re:なぜ、Google はユーザーが「認証局名」を確認する手段を奪ったのか? (スコア:1)
つまりGoogle曰く
認証局を確認するのは一般的ではなく逸般的行為であり
Web開発者向け相当の行為であるということですね
うんその認識は間違っていない
正しい行いではないが
一般人の一般人たる在り様からして
一つの解でもあるのではないでしょうか
どうせ逸般人なら
F12一発でデベロッパー ツール表示してSecurityタブ見るくらい
1秒かからないんですから
# 釈然としないってのには同意
Re: (スコア:0)
ひねくれすぎてて何言いたいのかさっぱり
Re: (スコア:0)
要約「Google様のやることはすべて正しい。一般人は考えるのを止めて彼に従え」
Re: (スコア:0)
これでしょうね。下手な企業やユーザーが判断するよりもよっぽど正しいことをしている。
Google以外に利益がないとしても、正しいのだから仕方が無い。
いやなら使うな、と言われたら反論のしようが無い。
抵抗は無駄だ、服従せよ。
私はお断りですが。
Re: (スコア:0)
どいつもこいつも、どこかでひねくれないと気が済まないのは何でだろう
Re: (スコア:0)
無職だからだよ
Re:なぜ、Google はユーザーが「認証局名」を確認する手段を奪ったのか? (スコア:1)
ブラウザベンダーであり、自身もルート認証局を持っている Google が、信頼する認証局を判断する全権を握る「神」に近い存在になったのは、恐ろしすぎます。
ブラウザベンダーってのは元々そういう「神」に近い存在でしょう。
やなら別のを使えばいいわけだし、いまさらですよ。
というか、認証局名を見るってのは何が目的なんでしょう。認証局名から何かを判断出来るのは業界人とかで、一般ユーザが判断出来るようなものじゃないでしょう。
必要なのは信頼できるかであって名前ではないですよ。
あと、認証局の有効無効を変えるのはまた別のUIですし、そこに変更はないんでは?
フィッシング詐欺に騙されないためには、ユーザーが証明書を確認する必要がある (スコア:1, オフトピック)
一般に、信頼できるかの判断は、名前(ブランド)で行うものだと思うし、「名前」で判断するのは現実解として適切だと思います。
例えば、「G-SHOCK」の時計は丈夫さ・防水性の観点で信頼できるとか、「SanDisk」のSDカードは品質が優れているとかそういう判断をしている人が多いわけで、劣悪な製品を作ればそのブランド価値が損なわれることになるので、企業はブランド価値を高めるために品質の向上に努める訳です。
認証局も「SECOM」とか「Symantec」といったブランドがあるわけで、そのブランドで信頼性を判断するのは当然のことです。
もっと具体的に、一般ユーザーが証明書を確認する必要性を挙げると、国税クレジットカードお支払サイト [noufu.jp] とか ビューカードのログイン画面 [viewsnet.jp] が、フィッシング詐欺サイトでないかどうかを判断する上で、証明書の確認が有効です。どちらも EV 証明書ではありませんが、証明書の確認によって信頼性評価が可能です。
両者とも、「Symantec Class 3」の証明書であり、Symantec はブランドを守るためにDV(ドメイン認証)証明書は発行しておらず、OV証明書であっても「登記事項証明書または第三者データベースの確認」と「電話による申請者の在籍と申請意思の確認」は最低限行っており、証明書のサブジェクト(下記参照)を見ることで、フィッシング詐欺サイトの可能性は低いと判断できます。
(DV証明書は、同じグループでも「Symantec」ではなく「GeoTrust」ブランドで発行してます)
しかし、もし認証局が「Let's Encrypt Authority」だったら、お金が絡むサイトに無料のDV証明書を使うのは怪しいので、フィッシング詐欺サイトの疑いが強いと判断できます。
なお、「noufu.jp」とか「viewsnet.jp」は誰でも取れるドメイン名であることから、よく言われている「一般ユーザーはドメイン名と錠アイコンだけ見れば良い」というのは不適切な考えです。
一般ユーザが証明書の確認や判断できるかどうかという問題については、小学校~高校に情報の授業があり情報セキュリティの分野も扱うので、そこで教えるべきだと思います。
EV証明書の場合もEV証明書であるというだけで信頼するのは望ましくありません。CA/Browser Forum のガイドラインがあるので、実在確認はある程度厳格に行われてますが、日本では企業の名前の重複が許されるし、企業の設立は割と簡単にできるので有名企業と同一の名前のペーパーカンパニーの可能性もあります。最低限、会社概要ページと証明書記載の住所が一致しているかの確認をした方が良いでしょう。
EV 証明書なら通常、
のように証明書で番地まで確認できます。
Google Chrome は原則OSの証明書ストアをそのまま使っているので、そこには変更はありません。
しかし、証明書を削除したり無効にしたりしても(削除だと勝手に復活することが多いので無効の方が良いです)、アップデートで強制的に同じ会社の新しいルート証明書がサイレント追加されることがあります。
そのため、信頼できない認証局を無効にするだけでは不十分であり、重要な情報を入力する前の段階で、自分の信頼する認証局の証明書かを確認した方が良いでしょう。
Re:フィッシング詐欺に騙されないためには、ユーザーが証明書を確認する必要がある (スコア:2, 参考になる)
横からですが、ルート認証局の信頼度を審査するのはOSやブラウザベンダの仕事であって、エンドユーザが気にすることでは無い、というのが基本でしょう。
そこを気にしなきゃいけなくなったらエンドユーザの負担は激増してしまうし、そこを見なければ安全が担保できないのなら世の中の99.99%の人にとって事実上SSLは安全でなくなってしまう。
そこで、少しでも信頼を毀損する要素があったらOSなりブラウザなりから無効化させられるので、あくまでOS/ブラウザに入っていてかつ有効なルート認証局は便宜上「100%信頼できるものと見なし」ましょうね、って話になってるわけです。
枠組み上、ルート認証局のブランド力についてはエンドユーザは本来気にしなくていいものです。全て100%信頼できる「はず」ですから。
ブランド力が影響するのはあくまで証明書を買う人にとっての話です。ブランドものの証明書は「多くのブラウザから信頼できると見なされているであろう」「やらかして失効される可能性は低いであろう」と期待できます。逆に言うとそれだけです。
で、今一番の「ブランドもの」であるはずのSymantecがその枠組みをぶっ壊して「信頼できないルート認証局が公然とOS/ブラウザに居座ろうとしている」から問題になっているわけでしょう。
「せっかくChromeがSymantecの臭いルート証明書を失効させたのに、MSが勝手に別の臭い証明書を突っ込んで来やがった」というようなケースについてはエンドユーザが心配する意味はありません。
というかMSがそんなことやらかしたらMSとGoogleとの間の争いになって、MSのルート証明書管理は信用できねーからChromeは自前で持つわ!じゃあの!、って話になるだけです。
あなたの認識は根本的にずれているように思われます。
Re:フィッシング詐欺に騙されないためには、ユーザーが証明書を確認する必要がある (スコア:1)
そんなしち面倒くさい方法に頼るのは設計として間違ってると思うし、半分以上認証局からずれた話ですね。
で、
認証局も「SECOM」とか「Symantec」といったブランドがあるわけで、そのブランドで信頼性を判断するのは当然のことです。
そこにくるのはGoogleとかAppleとかじゃないんですかね。
PKIでいえばSECOMとかSymantecとかはサプライヤー的な、業界人にとってのブランドで、一般ユーザが気にしても良いけど、表にでるブランドではと思いますが。
しかし、証明書を削除したり無効にしたりしても(削除だと勝手に復活することが多いので無効の方が良いです)、アップデートで強制的に同じ会社の新しいルート証明書がサイレント追加されることがあります。
結局問題はこのへんじゃないの?
ユーザに対して、認証局を選択・調整するようなUIが貧弱でほとんど考えられてないとか、
あと、サーバ側とか証明書を使用する側で複数の証明書を持てるようにするとか、
ユーザに選択肢を与えるべきだってなら、そういう根本からの対応が必要でしょう。
一般ユーザに知識やノウハウを求めるのは悪手だし、いちいち瑣末な問題をあげつらうのは、問題の本質に対する目くらましでしかありませんよ。
Re:フィッシング詐欺に騙されないためには、ユーザーが証明書を確認する必要がある (スコア:1)
>そこにくるのはGoogleとかAppleとかじゃないんですかね。
完全に間違っている。
GoogleやAppleを信頼することと、貴方が見ているWebサイトがそれらによって提供されているかは別の話だ。
ルート認証局や証明書が適切に構成されていることを確認して初めて、Webサイトがどの組織によってホストされているかがわかる。
ブラウザは、システムの証明書ストアに登録されたルート認証局に基づいて、Webサイトの証明書が正しく構成されていることを確認しているだけだ。
認証局の信頼性を判断できるのは最終的には利用者だけだ。少なくともGoogleではない。
(Appleは、OSベンダとしてルート証明書を選択しているので、ある程度は関与している)
>一般ユーザに知識やノウハウを求めるのは悪手だし、いちいち瑣末な問題をあげつらうのは、問題の本質に対する目くらましでしかありませんよ。
ルート認証局を確認するのは些細な問題ではない。
そもそも、今まさにSymanticという認証局の信頼性が問われているときに何を言っているのか。
あなたのコメントは、一般市民の知性や、専門家の役割をあまりに軽視していて頭がクラクラする。まるでディストピアの世界観だ。
誰もがWebセキュリティのグルであることはできないが、例えば認証局がSymanticどうかを確認することは一般利用者だってできるし、そうすべきだ。
必要なら専門家の助言を借りることだってできるし、そのためにも必要な情報が提供されることは必要だ。
Chromeは単なるブラウザアプリに過ぎず、ルート認証局の信頼性を評価するような立場にはない。
また、元コメで指摘されているように、Google自身がルート認証局であり、いわばSymanticのビジネス上のライバルだ。
そんな会社を盲信するのは馬鹿のすることだ。
明らかにGoogleは自社を特別な存在だと一般消費者に信じ込ませようとしているが、そういう態度自体に疑いを持つべきだ。
我々利用者自身で認証チェーンの信頼性を判断しなければならないし、そのためにChromeのUIが適切でないことは明確だ。
Re:フィッシング詐欺に騙されないためには、ユーザーが証明書を確認する必要がある (スコア:1)
とはいえ、本来信頼できるとして認定を通ったroot証明が同梱されるわけで、ルートまで全部チェックせなあかんのはどうなんだろう、とうのもわからないではない
今回のこれはどうする、とかUIとして容易であったほうがよい、はまた別として論議かなあ
#(中間認証局を経由して)ルート認証局までのチェーンで問題があるなら、エラー表示するのが良いブラウザUIだという認識が共有されつつあると思うんだけど
# EVの名前くらいはともかく、ルートまでチェックしろ、は良いプラクティスとはいえないとも思う...
M-FalconSky (暑いか寒い)
Re: (スコア:0)
お題目は立派だけどね。
あなたが言ってるのは理想論で現実的じゃない。
エンドユーザーの大半は認証局や証明書なんて理解できないし、適当に許可するよ。
そう、あなたが他人を馬鹿呼ばわりするように、世の中には馬鹿が多いんです。
お利口さんなあなたには分からないんだろうけど。
Re: (スコア:0)
優先順位として、証明書の確認方法についてのブラウザ実装より、ユーザに見えないところでルート証明書の勝手更新等される方が問題といっているだけで、
「証明書の確認が面倒なChromeのUIは良いものではない」ってのは、おそらくこのツリーに書いている人の誰も反対していないと思いますが。
> (Appleは、OSベンダとしてルート証明書を選択しているので、ある程度は関与している)
元コメの「GoogleとかAppleとか」の例は色々解釈できそうなので、何を言いたいのか私はよく理解できてないですが、
あなたの解釈でいえば、Androidを提供しているGoogleだってAppleと同じでは。
> また、元コメで指摘されているように、Google自身がルート認証局であり、いわばSymanticのビジネス上のライバルだ。
パブリック認証局とプライベート認証局の区別が付かない人ですか?
Googleは自社と親会社以外に証明書を発行しておらず、この分野でのビジネス上のライバルなんかではないですよ。
Re: (スコア:0)
> 優先順位として、証明書の確認方法についてのブラウザ実装より、ユーザに見えないところでルート証明書の勝手更新等される方が問題といっているだけで、
書いてから思ったのだが、勝手更新の何が悪いかというと、認証局が適当にEE証明書を発行してるからチェーンするルート証明書を
入れたくないというわけで、元の「信頼性回復に関する議論」に帰結するのだな。
# 永久ループ入った。
個々のユーザの立場で言えば、多くの認証局が正しい業務フローで証明書発行しているかなんて確認するのは現実的ではないわけで、
勝手に多く入れられるよりは、ルート証明書はあらかじめ最小限でインポートしておいて、新しいのが必要になる場合にユーザ同意の上で
インポートするUIでいいのに、なんでバックグラウンドでインポートしちゃうんだろうな。
それともグループポリシー等でそういう設定に変更できたりするんですかね。
Re: (スコア:0)
オレオレ証明書みたいに、ページを開くたびに認証局の確認ダイアログが出るぐらいにしないと、まず確認なんてしないだろうけど、そんなUIは地獄だな。
Re: (スコア:0)
オレオレ証明書みたいに、ページを開くたびに認証局の確認ダイアログが出るぐらいにしないと、まず確認なんてしないだろうけど、そんなUIは地獄だな。
IEはEV SSLだとアドレスバーに認証局と組織名が交互表示されるので、ゼロクリック&手間いらずで目視確認できる
IE最強がまた証明されたな
Re: (スコア:0)
なんか無関係なAppleまで飛び火させていますが、Safariではchromeと違って証明書の情報を表示します
鍵アイコンをクリックすると認証局と住所の表示を一気に行っています。
Re: (スコア:0)
> なお、「noufu.jp」とか「viewsnet.jp」は誰でも取れるドメイン名であることから、よく言われている「一般ユーザーはドメイン名と錠アイコンだけ見れば良い」というのは不適切な考えです。
「ドメイン名と鍵アイコンだけを見ればよい」の目的を勘違いしてる。
Re: (スコア:0)
ん?
目的って?
noufu.tokyo.lg.jp ならドメイン名と鍵アイコンだけで東京都運営だとわかるって主張?
CAforumで一定の管理体制が審査されているCAと比べると、レジストラの管理体制って更にいい加減で透明性はまったくないんだけど
ドメイン名なんかチェックするよりSSL証明書チェックする方がよっぽどいいわ
Re: (スコア:0)
>日本では企業の名前の重複が許されるし
と、ご自身で書いてるにもかかわらず、
>一般に、信頼できるかの判断は、名前(ブランド)で行うものだと思うし
などと書いてしまえるのが謎。
日本で許されるなら世界全体ではもっと許される。
完全同一でなくても似た名前まで含めればとんでもないことに。
Re: (スコア:0)
まさにクソリプ
山田さんが「山田電気」って会社を設立して登記すればEV SSLはとれる
同じ名前の会社なんて山ほどあるんで信用調査のとき登記住所まで確認するのは融資その他実務レベルでも常識だぞ
クレジットカードの審査のときだって会社名だけじゃなくて会社住所・登記簿との照合はする
しかしベリサインという会社を個人が設立したところでMicro$oftがRoot CAとして認定してくれる訳はないのでCAを名前で確認するのは無問題
単なる企業名の制約と商標法によって保護されているブランド=商標は法的にも違う概念で「企業の名前の重複が許される」「名前(ブランド)で行うもの」とそこらへんに区別されとる
元コメはなんの矛盾もない
Re: (スコア:0)
>一般に、信頼できるかの判断は、名前(ブランド)で行うものだと思うし
こっちは認証局を同じ信頼性と判断するか、それぞれのブランドで信頼性が異なると判断するかという話
>日本では企業の名前の重複が許されるし
こっちは、EV証明書の確認の際はアドレスバーに表示される企業名だけじゃ不十分なので住所も確認した方が良いという話
無駄に長い長文を書く方にも問題があるが読解力が無いのも問題だ
Re:なぜ、Google はユーザーが「認証局名」を確認する手段を奪ったのか? (スコア:1)
完璧なGoogleユーザーは完全に幸福です。Ok Google!
Re: (スコア:0)
Symantecのスキャンダルがまさに問題になっているときに「認証局関係ない」とか、なかなか出てこない発想だな。
Re: (スコア:0)
Chromeのルート認証局ってChromeが自分で持ってるんじゃなくて、Windowsの証明書ストア使ってるんじゃないの?
Chromeの設定で「証明書の管理」ボタン押して出てくるやつってOS共通のやつでしょ。
だからサイトの証明書の判定はシステム的にOSに任されているわけで、ブラウザはユーザーに目的のサイトが正当な認証のツリーに属しているかどうかさえ伝えられればよい。
むしろ不適切なルート証明書がOSにインストールされていてもChromeはそれに関与せず、どの認証局を信頼するかの決定権は放棄しているように見える。
認証局の追跡が開発者レベルの機能ってのは全然問題ないと思うんだけど。
ユーザーがそういうのを一々確認しなくて済むように予め信頼する事にしたルート証明書を登録してるんだから。
「アクセスしたサイトの認証局を目視で確認して不可と判断する」ユースケースの想定自体がそもそもおかしくね?
Re:なぜ、Google はユーザーが「認証局名」を確認する手段を奪ったのか? (スコア:2)
#3205689 でも書きましたが、これはその通りです。
Google Chrome はOSの証明書ストアで信頼されていたとしても StartSSL の証明書を独自実装で拒否している [qiita.com] ので、どの認証局を信頼するかの決定権は放棄していません。
同じOSの証明書ストアを使っていても、IEでは受け付けるけどChromeでは拒否されるというケースがあります。
認証局や証明書を見ないと、DVとOVの区別も付かないので確認できないと困ります。認証局名や証明書の内容をユーザーが見る必要がないのだったら、OV証明書は一切存在価値がなく、DV証明書で十分ということになってしまいます。
スラドは、GeoTrust の RapidSSL というDV証明書(ドメイン所有者の機械的なチェックのみ)なわけですが、フォーラムサイトなので適切なレベルの証明書だと思います。一方、通販サイトで先払いやクレジットカード番号を入力するならOV証明書以上が欲しいところです。このように状況によって必要なレベルは異なるので、予め証明書ストアで信頼するかどうかを設定しておくわけにはいかないのです。あと、証明書の中身を見て実在確認された住所地をチェックするといった使い方もあるので、中身も見られる必要があります。
EV証明書が使われていれば、ユーザーがアドレスバーの色だけでも実在確認がされていることを知ることができますが、まだEV証明書はショッピングサイト等への普及が不十分です。
Re: (スコア:0)
Googleの認識は「OV証明書はゴミ。信頼性においてDV証明書と変わらん。表示を変えてDV証明書より安全だと誤認される方が有害。見るからに安全っぽい表示をして欲しければEV証明書を使え」なんじゃないかな。
実際その認識は間違ってないと思う。
まあ一部のアホ認証局のせいでEV証明書の信頼性まで毀損されつつある今日この頃ではあるけど。
Re:なぜ、Google はユーザーが「認証局名」を確認する手段を奪ったのか? (スコア:1)
おっさんが昔話をするとだな、むかしは全証明書がOVだったんだよ
だからSSL=安全が成立した
自動化して手間いらずで金儲けをしたい銭ゲハCAがDVなんてゴミ証明書を発行しだしてから世の中おかしくなった
一番の戦犯はシ○ンテックじゃなくて最初にDV発行した某社だろw
信頼性は DV<<<<<<<<<<<<<<超えられない壁<<<<<<<<OV<EV ぐらいだろ
実務レベルだとOVとEVのチェック事項そんなに変わらない
費用もEVも安いとこだと3万ぐらいで買えるしOVとそんなに違いはない
まさにこれ! (スコア:0)
昔:認証局はベリサインが独占! 今のEV相当の厳重審査! 鍵マークがあれば安全
今:Let's Encryptで誰でもSSL(笑) 認証局名までチェックしないと安全か分からない
一逸人以外は鍵マークチェックまでが限度だからはよ昔に戻せ
認証局をオープンにして百個以上OSにルート証明書ぶち込まれてたらもはや安全性なんて保てんわw
Re: (スコア:0)
証明書の発行を数社に独占させる方がよかったと?
Re: (スコア:0)
証明書の発行を数社に独占させる方がよかったと?
CAは理論上不正な証明書発行し放題なんだよ? 数社独占の方が安全に決まってるじゃん
rootのパスワードを数人で共有しているサーバーと、rootのパスワードを100人に教えているサーバーのどっちが安全か考えたら分かり切ったこと
1社だと競争原理が働かなくてまずいけど、数社ありゃ自由競争原理が生まれる。数社の寡占状態の業界なんて山ほどあるけど十分に競争原理が働いてるだろ
ベリサイン独占だった時代も数万円払えば証明書は買えた訳で、フィッシング詐欺が蔓延するより社会的コストは少ないわ
Re: (スコア:0)
OVがDVと同じ信頼性????
詐欺メールいっぱい来るから興味本位で開いてるけど、OVのフィッシングサイトなんて一度も見たことねーぞ
https://rms-digicert.ne.jp/digital-certificate-news/certificates-for-phishing [rms-digicert.ne.jp]
>その中でも、攻撃者から最も利用されている認証局(CA)が、Let’s EncryptとComodoの2つです。
>有効なTLS証明書を利用するフィッシングサイトのうち、96%がこの2つの認証局
Re: (スコア:0)
ならばDVとOVも色を変えれば済む話だ。
Re: (スコア:0)
ならばDVとOVも色を変えれば済む話だ。
住所も確認したいという主張は無視?
アップルのサファリは、鍵アイコンクリックで認証企業名、認証企業住所、認証局、これ全部一括表示されるぞ
なぜ住所まで表示されるか、まさしくプリンタなんとかがゆってるとおり企業名は重複が許されるからだろ
アップルは全部を考えて安全な設計をしている
アップルのUXが最高で、グーグルのUXがゴミであることがまた証明されたんだけど
グーグル信者はこれを認められないのかね
Re:なぜ、Google はユーザーが「認証局名」を確認する手段を奪ったのか? (スコア:1)
本当だMacのSafariは1タップで住所まで表示されるんだ
なのになんでiphoneのSafariは見れないんだ。chromeみたいにdevtoolを使うんじゃなくて、マジで見れないよな
一般人が分かるのは3色まで! (スコア:0)
プラスアルファーで色無しもいれて4段階ぐらいなら一般人でも分かるかな?
わかりやすい信号機カラーにした
赤=HTTP
色無し=DV SSL
黄=やや危険=OV SSL
緑=安全=EV SSL
分かりやすさ重視で色無しをやめて3色なら、詐欺師御用達のDVはHTTPと同じ赤かな
Re: (スコア:0)
危険という意味で赤をつかうなら、証明書エラーが出た場合にしてほしい。
で、エラーが出ても内容はちゃんと表示するようにしてほしい。
#証明書エラーが出たので手動でhttpsをhttpに切り換え→勝手にhttpsにリダイレクトとか
スラドをdisるのは止めろ! (スコア:0)
スラドは、GeoTrust の RapidSSL というDV証明書(ドメイン所有者の機械的なチェックのみ)なわけですが、フォーラムサイトなので適切なレベルの証明書だと思います。
スラドがただのフォーラムサイト?
報道機関=マスコミだぞ
偽ニュースが社会問題になってるんだからEV SSL必須
偽スラドのフェイクニュースに騙されて世論誘導されたらどうするんだ
MicrosoftとAppleは (スコア:0)
参加しませんの?
Re: (スコア:0)
製品シェアを背景に事があれば口出しして、実質的に業界全てを支配してやろう
みたいな悪の帝国じゃないんでしょ、その2社は
Re: (スコア:0)
MSは直接参加してないだけで、裏方的関わりは有るんじゃないかなあ。
ガラケー絵文字みたいな。
表立って入るとやかましいのが必ず沸くから。
Re: (スコア:0)
一部ではGoogleの勇み足だろみたいなことを言ってる人もいたけど、Mozillaも裏で同調してたことが分かったので
ブラウザ業界全体のセキュリティインシデントとして認識されてるならAppleはともかくMSは裏で動いてそうですね。
Re: (スコア:0)
MozillaなんてGoogleにのっかってイキがっとるだけやろ。MSやAppleが同調するとは思えない。
Re: (スコア:0)
祈りの力で何もかも有耶無耶にできるApple教団はともかく
MSは何かセキュリティ問題を起こしたら新聞沙汰から下手すると政治レイヤーまでエスカレーションする立場なので
一般に思われてるよりもMSのセキュリティポリシーはずっと厳しい。
明らかにSymantecがやらかしていてGoogleとMozillaが動いている状況下で不作為を決め込んで偽証明書ドーンなんてことになったらしゃれにならん。
下手するとWindows Updateでマルウェア配布し放題みたいなこともあり得るわけだからな。
Re: (スコア:0)
MSのセキュリティーはある方面 (米政府) には甘そうだし、なにかつつかれたらまずいことなんかもあるのかもね。
MSの合意の元でNSA向けに偽証明書を発行していたなんてありそう。
Re: (スコア:0)
StartCom や WoSign 問題の時は Apple の対応が早くて徹底していた印象がある.
GeoTrustがSSLを危険に晒したパイオニア (スコア:1)
ベリサイン=シマンテック=GeoTrust 全部名前は違うけど同一グループ会社
こいつがSSLを危険に晒したパイオニア
3万円台で最速2分発行のSSL証明、ジオトラストがキャンペーン実施 [itmedia.co.jp]
2006年02月01日 15時54分 UPDATE
2006年にGeoTrustがWHOISのメールアドレスで本人確認して自動でSSL証明発行サービスを開始して、SSLの安全神話が崩壊した
それまでSSLを使ってフィッシング詐欺は一件もなかったのにGeoTrustのせいで詐欺師もSSLを使うようになった
しかも、こんな信頼性の無いWHOISの本人確認方法を特許出願した
そりゃ~誰もこんな特許取ってないだろうよ。意味無いから(^^;
ってか、どういう範囲で特許出願してるのかわかりませんが、元々ドメイン業者なんかはwhoisに書かれたメールアドレスへメールを送って本人確認するなんて方法はあちこちで使ってる訳で、ただwhoisに書かれたメールアドレスに対して送ったメールに書かれた内容に対してアクションを起こす事で本人確認とするという程度では、何ら新規性は無いんじゃないかなぁ?
で、予想通り特許は却下され他社も同様の危険なSSL発行サービスを追従!SSLは紙っ切れになってしまった
このGeoTrustがいなかったら鍵マークを確認するだけでフィッシング詐欺を防げた
インターネットが危険になったのはGeoTrustのせい