SSL/TLSの証明書に関するデマの考察

SSL/TLSの証明書の役割は実在証明じゃないよね、基本をちゃんと押さえとこうよ、という観点での連ツイのまとめ
7
angel as ㌵㌤の猫 @angel_p_57

比較するのは別に良いんだけど、デタラメな理解を元に何か書いても、それはデマにしかならないのが。意図的にやってる可能性もあるけど、素で誤解してるんでろうなあ。いつまで続くんだろうか、この状況。 twitter.com/rentalserver_w…

2019-12-15 10:07:35
angel as ㌵㌤の猫 @angel_p_57

「暗号化されていても、通信先の相手が誰なのかわからなければ必ずしも安全とは言えない」という説明。ビミョーに合ってそうでいて、実は理解していない。でも後の「運営者・運営組織の実在の証明」に持っていくことで、なんか説明できている風には見せられる。わざとやってるなら悪質。

2019-12-15 10:11:29
angel as ㌵㌤の猫 @angel_p_57

正しくは「暗号化以前に、ニセサイトじゃなくて正しいサイトに接続できていることが前提、そのためのサイトの身分証明としてのSSL証明書」 で、運営者の実在とかどーでも良くて、「そのサイトの正しい運営者であることの保証」これがサーバ認証 参考: qiita.com/angel_p_57/ite…

2019-12-15 10:19:52
angel as ㌵㌤の猫 @angel_p_57

で、当然そうするとホンモノかニセかの判断基準が要る訳で、それがドメイン名。アドレスバーのドメイン名を確認しましょうと、マトモな人が強調しているのはそれが理由だし、証明書発行の要件が最低限DVなのもそう。 そのドメイン名が正しいことはどうやって確認するか? それはSSLの範囲外。

2019-12-15 10:24:10
angel as ㌵㌤の猫 @angel_p_57

「ドメイン名なんて言われても一般の人には難しい」という意見を見ることもあるけど、それはユーザのリテラシーの問題でもあるし、各企業の広報の対応のマズさのせいでもある。 だいぶ前から「〇〇を検索」というサイトの紹介が主流になってるけど、これが典型的。

2019-12-15 10:29:26
angel as ㌵㌤の猫 @angel_p_57

ユーザーに対してはドメイン名への意識を薄れさせることにつながる。 企業としてはもっと酷い。「正しいドメインが何か」の発信源になるべきところで情報を故意に隠してることになるから。本来、責任放棄と言われても文句言えないところなんだよね。

2019-12-15 10:33:14
angel as ㌵㌤の猫 @angel_p_57

もっとも、「〇〇で検索」が絶対ダメか、というと、それは価値観に依って違ってくるかなとも思うけど。…でも、それを肯定するのは「自身のサイトの正当性を自ら発信するつもりありません。全部検索エンジンにお任せします」という姿勢なのは理解しておくべきかと思う。

2019-12-15 10:37:03
angel as ㌵㌤の猫 @angel_p_57

話を戻して。みんな「運営者・運営組織の実在の証明」に話を持っていっちゃうのは、本質的に無意味なんだけど、証明書ビジネスとしては分かる話ではあるんだよね。だって「こんだけ厳格にやってます! だからうちの証明書買って!」とか「お高く見えるのも理由があるんです!」と言えるから。

2019-12-15 10:46:19
angel as ㌵㌤の猫 @angel_p_57

穿った見方をすれば、「無意味な『実在証明』に価値を生むために情報操作してる」になる。 でも実際のところは「ビジネス的に都合が良いから深く考えずに受け入れてる」ではあるだろうね。なんにでも悪意を見出すのは良くないしね。

2019-12-15 10:49:38
angel as ㌵㌤の猫 @angel_p_57

なんで「実在証明」に意味がないかと言うと理由は簡単。だってブラウザで見ても違い分からないじゃん。認証局が実在をチェックしてるかどうかなんて。

2019-12-15 10:52:47
angel as ㌵㌤の猫 @angel_p_57

あともう1つ理由がある。実際は証明書を細く見れば、実在確認してることは分かるんだけど、例えばそれで「〇〇商事」とか組織名が分かって、どれだけ意味があるの? と言う点。

2019-12-15 10:55:28
angel as ㌵㌤の猫 @angel_p_57

先に言ったように、「(自分がアクセスしようとしてる) 正しいサイトかどうか」がポイントなんだから、そこに知りもしない組織名とか付け加わっても雀の涙ほどの意味しかないんだよね。

2019-12-15 10:59:43
angel as ㌵㌤の猫 @angel_p_57

…納得できない人は、今ここで私が「実名は〇田〇郎です! パスポートも見せます!」ってやったら、ここらへんのtweetの信憑性が上がるかどうか。想像してみると良いと思う。「〇田〇郎? 誰それ。それで?」ってなると思うんだけど。

2019-12-15 11:01:46
angel as ㌵㌤の猫 @angel_p_57

もっとも、私が〇大教授だとか。有名人だったら意味が多少はあるかもね。 そういう意味で SSLの証明書でも EV は別。「無条件にEVが良い」という意味じゃなくて「EV に価値が出るケースがあるよね」程度だけど。

2019-12-15 11:09:07
angel as ㌵㌤の猫 @angel_p_57

それは、ブラウザが「このサイトの運営者は株式会社〇〇です」という情報も出してくれるから。「有名企業」なら、正しいサイトかの判断の「足し」にできる。

2019-12-15 11:35:09
angel as ㌵㌤の猫 @angel_p_57

だけど、この点は証明書ベンダは絶対に説明しないだろうね。「御社にネームバリューがあればEVに意味がありますよ」ってことは「そんな有名でなかったらEVに意味ないですけどいいですか?」ってことなので。言えないよね、そんなことお客に。

2019-12-15 11:38:26
angel as ㌵㌤の猫 @angel_p_57

ちなみに、有名企業なら意味がある、と言っても google なんかは使ってない。当たり前の話で、google はそのドメイン google .com に既にネームバリューがあるから。EV で google llc とか情報が追加されても逆に意味がない。

2019-12-15 12:04:30
angel as ㌵㌤の猫 @angel_p_57

最近、各種ブラウザで EV の組織名表記が目立たなくなって、そのことに不満を持っている人もいるようだけど。ドメイン名が基本で、組織名は足しだと理解していれば、なんら理不尽な対処ではないと分かる。

2019-12-15 12:07:44
angel as ㌵㌤の猫 @angel_p_57

つまり、組織名が目立ちすぎて、そこしか見られなくなると、逆に基本のところのドメイン名の意識がおざなりになっちゃうと言うこと。 組織名だけで判断できるならまだ良いんだけど、名前の衝突や所在地の違いとか、キーとして使うには精度が高くない情報になってしまう。

2019-12-15 12:11:23
angel as ㌵㌤の猫 @angel_p_57

というわけで、何度でも言うけど、大事なのはドメイン名ですよ、と。そこが守られてれば、組織名がどうとか、実在証明がどうとか、ゴミほどの意味しかない、と。( EVならまだ意味はある、程度 )

2019-12-15 12:14:34
angel as ㌵㌤の猫 @angel_p_57

あ、一応証明書ベンダの付加価値サービスについても考慮が必要か。意味ないって言っちゃえば終わる話なんだけど。 どんなのかと言うと、フィッシングサイトチェックとか、マルウェア検出とか、あと、保険もかな?

2019-12-15 12:21:03

ちなみに「意味がない」というのはユーザにとって、という意味で、サイト運営者が運営上のセキュリティ問題の対策の足しにするのがどうかについてはノーコメントです。

angel as ㌵㌤の猫 @angel_p_57

ただね。ユーザ ( not サイト運営者 ) からすると、どこのベンダの証明書なのか、とか、どんな付加価値があるのか、とか。そんなん知ったこっちゃない話なのよ。なので無意味。

2019-12-15 12:23:22

だって、ユーザがそれぞれ「どの認証局がどういう付加価値サービスを持ってるか」「認証局が何らかチェックをしてるとして、その精度はどの程度か」なんていちいち把握してられないし、それに「実は悪質サイトでした」とかでユーザに実被害が出たとしても、認証局自らユーザに保障をしてくれるはずがないから。

angel as ㌵㌤の猫 @angel_p_57

ただ、サイト運営者が「セキュアサイトシール」という形でアピールするのはありだとは思う。それなら少しは意味があるか。とは言え、じゃあシールがないと駄目なの? と言うと別にそんなことはないし、付加価値があるからと言って、それが何らか保障してくれるわけでもない。だからやっぱり意味ないか。

2019-12-15 12:25:55

コメント

コメントがまだありません。感想を最初に伝えてみませんか?