当記事はこちらの、
「ブラウザで鍵マークがつき、緑色の表示がされたサイトは90%安全」(要約)
という発言問題に関するまとめです。
https://togetter.com/li/1428161
このやり取り、頑張って読んだけど、途中から何言ってんのか分からなくなります。。。誰か解説してくれ…
DV証明書はURL自体が正しいことを証明してるだけで、それを使ってる人が正しい事は証明してないってことですかね。
EV、OV証明書は使ってる人も審査してるので、電話とかより厳しい審査してるみたいです
(自分も専門家ではないのでこれであってるんだろうか
EV、OV証明書は使ってる人も審査してるので、電話とかより厳しい審査してるみたいです
(自分も専門家ではないのでこれであってるんだろうか
https://www.geotrust.co.jp/ssl_guideline/compare/ovdv.html
www.geotrust.co.jp
高木さんの発言の根底にあるのは、そもそもSSL証明書=安全なサイトではない、という点かなと。それをドメインだURLだと振り回すから変な話になっている気がします
そうそう。その大元の話はよくわかるんですよね。
途中から相手が出鱈目だっていう事を証明したい話になってますね
ですね。あとはDVやOVの趣旨とか来歴の話に飛び火してよくわがんにゃい感じです
いったい我々は何をどこまでわかっておけば許されるのか。
ネットバンキングだとかクレカの入力する前に安全かどうか判定するサイトなんてものがあるんで、そこにドメインコピペしてみる、とか。
高木さんの発言を踏まえるなら、我々利用者はこの辺を抑えておけばよいのかなと。
・SSL証明書には種類があり取得難度が違う(EV認証>OV(企業認証)>DV(ドメイン認証))
・SSL証明書はあくまで取得のための認証プロセス(電話・登記etc)を保証するものであり、サイトの運営者の信用度を示すものではない
(cf.戸籍や登記簿が正しいからと言ってその人や業者が信用できるかは別の話)
・つまり、HTTPSのサイトでカギのマークがついているからと言ってそれが詐欺業者やフィッシング詐欺のページでない保証には全くならない
・SSL証明書には種類があり取得難度が違う(EV認証>OV(企業認証)>DV(ドメイン認証))
・SSL証明書はあくまで取得のための認証プロセス(電話・登記etc)を保証するものであり、サイトの運営者の信用度を示すものではない
(cf.戸籍や登記簿が正しいからと言ってその人や業者が信用できるかは別の話)
・つまり、HTTPSのサイトでカギのマークがついているからと言ってそれが詐欺業者やフィッシング詐欺のページでない保証には全くならない
1
↓上記のGeoTrust社HPから引用
そう。先ほどのサイトのこちら見た上で、プロセスしか証明してないのはどれも同じですよというのは理解できる。
どういうケースの詐欺、なりすましは防げないよって例を出した方が分かりやすいのかな。
ちょうど昨日の記事でSpoofingの話したばかりだし。
こういうケースとかですか?
そうそう!まさに。
「登記があれば良いという仕組みなので、同じ名前の登記があれば成りすませてしまう。EV証明書はそのレベルでは安全性を示せていませんよ。」
こういう説明ならすっと理解できそうですね。
おお。スマートな説明だ
突き詰めると中央集権的な証明機関が必要になっちゃいますね
金盾最強論
金盾最強論
それでは現在進行系で「SSL証明書=カギのマークがあっても詐欺サイトの可能性はある」を証明している京都銀行の事例をみておきましょう。kyotobkが偽物のほうです https://twitter.com/NaomiSuzuki_/status/1193189520570609664?s=20
えっすごいw
これはあかん
うーん、この東南アジア経由感
本物のURLの方が偽物っぽい
Whoisは皆んな知っておくべきなのか…
アバスト君えらい
スマホのマカフィーさんもブロックしてくれました
最低限、セキュリティソフトは必須って事ですね
こんなん素人にわかる筈ないわ…
この話、仮想通貨とか触ってたら、より気をつけないといけないですね。
SSL証明書があれば安心!っていう触れ込みがむしろ詐欺師の誘いにしか見えない…
では今日はこの辺で。セキュリティ関連トーク、ちょいちょいネタにしていきたいと思います。(自分の学びを固めるためにも)
コメント