.@MaihaiStyle さんの「東京大学大学院 大澤昇平特任准教授が「信頼できるサイト」の見分け方を解説 → 間違いが多すぎて、エンジニアが逆に注意..」https://t.co/52Ua7srA2g をお気に入りにしました。
— 不破雷蔵@ガベージニュース (@Fuwarin) November 10, 2019
. @AbemaTIMES セキュリティエンジニアの者ですが、このような嘘を書くことは詐欺師への幇助になりかねず,修正願えませんか。
— Osumi, Yusuke(@ozuma5119) November 7, 2019
昨今の詐欺サイトはLet's Encryptでカギが付いているのが普通です。https://t.co/P1dHZia5pr
> 見分け方のポイントは「アドレスバーにカギのアイコンが付いているかどうか」
一応専門家の端くれとして、確認のため動画も見ましたが、そもそもDVとOV、EVの区別が付いていないようですね。たぶん、自分でドメイン取ってWebサーバ建てて証明書入れたりした経験もないんでしょうねぇ。
— Hisa_X (@Hisa_X) November 9, 2019
以前【「https化しているのは安心安全だから」というのはもう通用しない】でSSL化してURLがhttpsになっているサイトは全部安心だからもろ手を挙げてアクセスしてもノープロダヨーンなんていう話は嘘っぱちでしかないのが実情ってのを、実例を挙げてした。仕組みを知っていればSSLのサイトは全部オッケーなんてことは言えないはずなのだけど。正直なところ、このメールは日本語で書かれているから詐欺じゃないぐらいの話でしかなくなっている。
にもかかわらず、そういうことを平気で語っている方が結構な肩書を持つ人にいたようで、色々とツッコミを受けているという話。そりゃ数年前、SSLを使っているのがごく一部の、金融系とかのサイトのみだった時代はそれでもよかったかもしれないけど、今じゃ通用しない話に違いない。
SSLに関しては例えば【今さら聞けないSSL証明書とは、DV、OV、EVとは、常時SSLについて|レンタルサーバーのCPIスタッフブログ】などを見ればだいたいわかる。データの盗聴(盗取)や改ざんを防ぐのはもちろんだけど、それを使っているサイト側の信憑性を担保するものとなっている...のだけど、その保証をする証明書には3種類あって、DV・OV・EVと呼ばれている。
DVは一番ハードルが低くて最近では無料でもゲットできる。これでも鍵付きのURLに出来てしまう。OVは持ち主の会社名なども証明されるけど、原則は法人のみ。EVはさらに厳格でアドレスバーに組織情報が表示されるという最高級のレベル。ただ、どのレベルでも暗号強度の違いは無い。
で、SSLなら何でもオッケー、大安心ってことになると、DVで取得するスットコな悪いやつが出てくることになる。実際そうなってるのが実情。さらにOVやEVでも、「該当者であるかどうか」の証明であり、「悪いことをしているか否か」の証では無いので、第三者のふりをしている別法人がOVやEVを取得して悪さをするってこともありうるわけだ......って先日の三井住友に化けていたのがまさにそれだった。
要はSSLってのは通信の暗号化をしているだけで、OVやEVでも事業者の実態が表示確認できるよってだけの話で、悪い所か否かってのは分からない。にもかかわらず、SSL化したのは全部安心ってのは、あまりにも雑過ぎる次第。
一方でぶっちゃけると、以前も言及したけど、個人情報を入力する必要があるサイトサービスならともかく、普通のサイトなどではSSLそのものの存在意義はどれほどあるのかってことになるのだよね。まるでフィルムカメラ業界を長生きさせるために強引に作ったAPS規格とさほど変わらないのではという気がしてきた。
コメントする