当記事はこちらの、
「ブラウザで鍵マークがつき、緑色の表示がされたサイトは90%安全」(要約)
という発言問題に関するまとめです。
https://togetter.com/li/1428161
shogun10-Nov-19 07:13 PM
Twitter
このやり取り、頑張って読んだけど、途中から何言ってんのか分からなくなります。。。誰か解説してくれ…
このやり取り、頑張って読んだけど、途中から何言ってんのか分からなくなります。。。誰か解説してくれ…
rubn10-Nov-19 07:37 PM
DV証明書はURL自体が正しいことを証明してるだけで、それを使ってる人が正しい事は証明してないってことですかね。
EV、OV証明書は使ってる人も審査してるので、電話とかより厳しい審査してるみたいです
(自分も専門家ではないのでこれであってるんだろうか
EV、OV証明書は使ってる人も審査してるので、電話とかより厳しい審査してるみたいです
(自分も専門家ではないのでこれであってるんだろうか
https://www.geotrust.co.jp/ssl_guideline/compare/ovdv.html
www.geotrust.co.jp
SSLならジオトラスト【公式サイト】お申込みページ。SSLのジオトラストは、SSLサーバ証明書を発行する世界第二位(22万社の導入実績)のSSLプロバイダです。
単眼愛(モノアイ)10-Nov-19 07:41 PM
高木さんの発言の根底にあるのは、そもそもSSL証明書=安全なサイトではない、という点かなと。それをドメインだURLだと振り回すから変な話になっている気がします
shogun10-Nov-19 07:42 PM
そうそう。その大元の話はよくわかるんですよね。
rubn10-Nov-19 07:46 PM
途中から相手が出鱈目だっていう事を証明したい話になってますね
単眼愛(モノアイ)10-Nov-19 07:54 PM
ですね。あとはDVやOVの趣旨とか来歴の話に飛び火してよくわがんにゃい感じです
shogun10-Nov-19 08:02 PM
いったい我々は何をどこまでわかっておけば許されるのか。
moopy_2310-Nov-19 08:05 PM
ネットバンキングだとかクレカの入力する前に安全かどうか判定するサイトなんてものがあるんで、そこにドメインコピペしてみる、とか。
単眼愛(モノアイ)10-Nov-19 08:12 PM
1
高木さんの発言を踏まえるなら、我々利用者はこの辺を抑えておけばよいのかなと。
・SSL証明書には種類があり取得難度が違う(EV認証>OV(企業認証)>DV(ドメイン認証))
・SSL証明書はあくまで取得のための認証プロセス(電話・登記etc)を保証するものであり、サイトの運営者の信用度を示すものではない
(cf.戸籍や登記簿が正しいからと言ってその人や業者が信用できるかは別の話)
・つまり、HTTPSのサイトでカギのマークがついているからと言ってそれが詐欺業者やフィッシング詐欺のページでない保証には全くならない
・SSL証明書には種類があり取得難度が違う(EV認証>OV(企業認証)>DV(ドメイン認証))
・SSL証明書はあくまで取得のための認証プロセス(電話・登記etc)を保証するものであり、サイトの運営者の信用度を示すものではない
(cf.戸籍や登記簿が正しいからと言ってその人や業者が信用できるかは別の話)
・つまり、HTTPSのサイトでカギのマークがついているからと言ってそれが詐欺業者やフィッシング詐欺のページでない保証には全くならない
1
↓上記のGeoTrust社HPから引用(edited)
shogun10-Nov-19 08:15 PM
そう。先ほどのサイトのこちら見た上で、プロセスしか証明してないのはどれも同じですよというのは理解できる。
どういうケースの詐欺、なりすましは防げないよって例を出した方が分かりやすいのかな。
ちょうど昨日の記事でSpoofingの話したばかりだし。
単眼愛(モノアイ)10-Nov-19 08:21 PM
こういうケースとかですか?
shogun10-Nov-19 08:21 PM
そうそう!まさに。
「登記があれば良いという仕組みなので、同じ名前の登記があれば成りすませてしまう。EV証明書はそのレベルでは安全性を示せていませんよ。」
こういう説明ならすっと理解できそうですね。
単眼愛(モノアイ)10-Nov-19 08:24 PM
おお。スマートな説明だ
rubn10-Nov-19 08:26 PM
突き詰めると中央集権的な証明機関が必要になっちゃいますね
金盾最強論
金盾最強論
単眼愛(モノアイ)10-Nov-19 08:49 PM
Twitter
それでは現在進行系で「SSL証明書=カギのマークがあっても詐欺サイトの可能性はある」を証明している京都銀行の事例をみておきましょう。kyotobkが偽物のほうです https://twitter.com/NaomiSuzuki_/status/1193189520570609664?s=20
誘導先の偽サイトは、本物を入力しないと先に進めないタイプです。何をするのか分かりませんが、偽サイトにログインし、合言葉、暗証番号、第二暗証を渡すと詰みそうなので、くれぐれも騙されない…
shogun10-Nov-19 08:50 PM
えっすごいw
rubn10-Nov-19 08:50 PM
これはあかん
単眼愛(モノアイ)10-Nov-19 08:51 PM
うーん、この東南アジア経由感
rubn10-Nov-19 08:51 PM
本物のURLの方が偽物っぽい
moopy_2310-Nov-19 08:52 PM
Whoisは皆んな知っておくべきなのか…
単眼愛(モノアイ)10-Nov-19 08:54 PM
アバスト君えらい
rubn10-Nov-19 08:57 PM
スマホのマカフィーさんもブロックしてくれました
最低限、セキュリティソフトは必須って事ですね(edited)
ソニックさん10-Nov-19 10:08 PM
こんなん素人にわかる筈ないわ…
shogun11-Nov-19 09:51 PM
この話、仮想通貨とか触ってたら、より気をつけないといけないですね。
SSL証明書があれば安心!っていう触れ込みがむしろ詐欺師の誘いにしか見えない…
では今日はこの辺で。セキュリティ関連トーク、ちょいちょいネタにしていきたいと思います。(自分の学びを固めるためにも)
コメント