SSL化されているサイトがすべて本物で大安心ってわけじゃないパート2

| コメント(0)


以前【「https化しているのは安心安全だから」というのはもう通用しない】でSSL化してURLがhttpsになっているサイトは全部安心だからもろ手を挙げてアクセスしてもノープロダヨーンなんていう話は嘘っぱちでしかないのが実情ってのを、実例を挙げてした。仕組みを知っていればSSLのサイトは全部オッケーなんてことは言えないはずなのだけど。正直なところ、このメールは日本語で書かれているから詐欺じゃないぐらいの話でしかなくなっている。

にもかかわらず、そういうことを平気で語っている方が結構な肩書を持つ人にいたようで、色々とツッコミを受けているという話。そりゃ数年前、SSLを使っているのがごく一部の、金融系とかのサイトのみだった時代はそれでもよかったかもしれないけど、今じゃ通用しない話に違いない。

SSLに関しては例えば【今さら聞けないSSL証明書とは、DV、OV、EVとは、常時SSLについて|レンタルサーバーのCPIスタッフブログ】などを見ればだいたいわかる。データの盗聴(盗取)や改ざんを防ぐのはもちろんだけど、それを使っているサイト側の信憑性を担保するものとなっている...のだけど、その保証をする証明書には3種類あって、DV・OV・EVと呼ばれている。

DVは一番ハードルが低くて最近では無料でもゲットできる。これでも鍵付きのURLに出来てしまう。OVは持ち主の会社名なども証明されるけど、原則は法人のみ。EVはさらに厳格でアドレスバーに組織情報が表示されるという最高級のレベル。ただ、どのレベルでも暗号強度の違いは無い。

で、SSLなら何でもオッケー、大安心ってことになると、DVで取得するスットコな悪いやつが出てくることになる。実際そうなってるのが実情。さらにOVやEVでも、「該当者であるかどうか」の証明であり、「悪いことをしているか否か」の証では無いので、第三者のふりをしている別法人がOVやEVを取得して悪さをするってこともありうるわけだ......って先日の三井住友に化けていたのがまさにそれだった。

要はSSLってのは通信の暗号化をしているだけで、OVやEVでも事業者の実態が表示確認できるよってだけの話で、悪い所か否かってのは分からない。にもかかわらず、SSL化したのは全部安心ってのは、あまりにも雑過ぎる次第。

一方でぶっちゃけると、以前も言及したけど、個人情報を入力する必要があるサイトサービスならともかく、普通のサイトなどではSSLそのものの存在意義はどれほどあるのかってことになるのだよね。まるでフィルムカメラ業界を長生きさせるために強引に作ったAPS規格とさほど変わらないのではという気がしてきた。

関連記事             

コメントする

            
Powered by Movable Type 4.27-ja
Garbagenews.com

この記事について

このページは、不破雷蔵が2019年11月13日 07:49に書いた記事です。

ひとつ前の記事は「ゲーム攻略サイトが動画解説になる昨今、ちょっと大変だよね」です。

次の記事は「「食べラー・メンマ牛丼」がすき家で展開開始」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

* * * * * * * * * * * * * *


2019年12月

1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31