上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる 21
ストーリー by hylom
スラドですらちゃんと買っているのに 部門より
スラドですらちゃんと買っているのに 部門より
無償でSSL/TLS証明書を提供するサービス「Let's Encrypt」の利用が広まっているが、このサービスで発行された証明書を利用する上場企業や官公庁が登場したことが一部で話題になっている(上原哲太郎氏のTweet、Shigeki Ohtsu氏のTweet)。
SSL/TLS証明書の役割の1つは暗号化通信に利用するための鍵を提供することだが、別の役割としてその接続先を保証するというものもある。Let's Encryptは接続先サーバーがそのドメイン名に適切に紐づけられていることについては保証するが、証明書の所有者については保証しない。そのため、企業などでの利用には適さないとされている。
上場企業や官公庁が使って何が悪いの? (スコア:1)
EV SSL を使っていたようなところは別に移行していないだろうし、
DV SSL を Let's Encrypt に移したところで安全性は特に変わらないのでは。
OV はブラウザ上で DV と区別する手間が大きくて可哀想というか、
ぶっちゃけ一般人で違いを見分けられる人はほとんど居ない気がするので
OV → DV にダウングレードして Let's Encrypt 化しているところがあったら
まあ文句の一つも言いたくなるでしょうが、ユーザーが見分けられないなら
費用対効果が悪いので切る判断をしても仕方ないのでは。
Re: (スコア:0)
SSL証明書の被提供側のページビューが増えたときに、
Let's Encrypt など提供者側の負荷が大きくなって
被提供側のページ表示の足を引っ張るということはないの?
Re: (スコア:0)
え?
SSL/TLSのサイトにアクセスするごとに、認証局にもアクセスされてるの?
Re: (スコア:0)
発行元が信頼できるかなどでルート証明機関の確認などの通信が発生しますよ。
自己署名証明書を使っていると気づかないと思いますが。
Re: (スコア:0)
発行元が信頼てきるかの確認の通信はありませんよ
revokeされてないかの確認の通信だけです
ブラウザの設定で証明書の取り消し確認を無効にすればこの通信は発生しません
Re: (スコア:0)
今時のブラウザならハンドシェイクごとには証明書失効確認のためにする
しなかったらrevokeした証明書が有効のままになる
けど、その認証局のサーバ負荷なんて今時無視できるぐらい少ない
困るのはDDosやDosのような異常アクセスだけ
Re: (スコア:0)
無効になった証明書リストに入ってないかとか、本当はきちんと通信して確認しなきゃいけないんじゃないか。
「スラドですらちゃんと買っているのに」 (スコア:0)
うん偉い偉い
Let's Encryptなんか使うサイトはゴミ、負け組、アクセス非推奨
Re: (スコア:0)
あのCOMODOだけどね
https://www.google.co.jp/search?q=Comodo%E4%BA%8B%E4%BB%B6 [google.co.jp]
Re: (スコア:0)
スラドなんかhttpで十分じゃん。
スラドとの通信が改竄されて困る奴なんかいるの?
Re: (スコア:0)
例えば記事に誤字やtypoがあったとき、
誰の責任かわらから無くなるじゃん
Re: (スコア:0)
今ですら誰も責任取ってないんだから何も変わらないでしょ。
Re: (スコア:0)
私のメインバンクは旧シマンテックなので安心です。
〔三菱UFJダイレクト〕銀行名変更にともなうサーバ証明書の切替について
http://direct.bk.mufg.jp/info_news/20180522_server/index.html [bk.mufg.jp]
Re: (スコア:0)
https://license.osdn.jp/ [license.osdn.jp]で使ってるみたいですよ。。。
#https://www.licenseonline.jp/はCyberTrust
DV証明書はドメイン所有者になりすまして証明書を取得する攻撃を防げない (スコア:0)
DV証明書はドメイン所有者の確認を平文通信のhttpやdnsやwhoisメールアドレスでやるので
通信が改ざんされて場合、悪意のある人物がドメイン所有者になりすまして証明書を取得できるので危険
電話、Fax、郵送などのインターネット以外の経路を併用して認証するOVやEVの方が安全性が高い
スラドはDVなのでLet'sと同レベル
お金があるならEV証明書にしよう (スコア:0)
一般ユーザ↔webサーバ間のインターネット通信同様、webサーバ↔認証局サーバ間のインターネット通信も改ざんされ得るのでDV証明書は証明書発行プロセス自体が安全ではない
srad.jp とLet's Encrypt認証局の経路に関わる人(ispの中の人)やdnsに毒入れできる人なら本物ののsrad.jpの証明書を取得できてしまう
ログは残るから後からrevokeはできるけど金銭を扱うサイトなどで被害が出てからでは後の祭り
DV証明書は妥協の産物に過ぎないので、お金があるならEV証明書にしよう
googleやamazonがEVにしないのは、EVだとドメイン名を表示しないSafariのような糞ブラウザに責任がある
ドメインも確認しないと同名の会社を設立する攻撃に弱くなるからね
まぁgoogleやamazonはドメイン名自体がブランドだからいずれにしてもEVは使いたくないかもしれないけど
Re: (スコア:0)
うちの会社でも最近Let's Encryptを使い始めました。
管理者になぜLet's Encryptにしたのか聞いたところhttps化の売り込み営業が
うるさいからとの事。だから暗号化とか実在性とかはあまり考えてないみたい。
検索順位は気にしてたみたいけど。
まあ組織が違えば目的も違うって事で。
Re: (スコア:0)
別にDVならどの認証局でも変わらんよ
ぼったくり価格でDVを買うのは情弱だよ
comodoのdv使って「スラドですらちゃんと買っているのに 部門より」と言ってるhylomは、ただの情弱の馬鹿
価格じゃなくて認証レベル(DV, OV, EV)で判断しよう
Re: (スコア:0)
LE の dns-01 は TXT レコードにそのセッション限り有効のワンタイムトークンを登録する。
別に whois のメールアドレスは要らない。
なのでコンテンツサーバの管理権限がないと不正な証明書取得は難しい。
ここら辺、ワイルドカード証明書を自動取得・更新するスクリプト書いていて、
よくできてるなと思った。
DNS の通信の安全性ってことなら、LE が使用するキャッシュサーバの問題になるでしょ。
コンテンツサーバ乗っ取られてたらもう論外だし、
コンテンツサーバと LE キャッシュサーバの間の MITM とか考え出したらきりがない。
そういう視点では、LE は取得の仕方にも依るけどヘタな DV 証明書より信頼性あるよ。
Re: (スコア:0)
この数年の動向を見ると証明書発行機関の信頼性もあるかな.
怪しい発行機関がわんさかあったわけで,企業に金払っていれば安心・長期保証というわけではない.
政府認証基盤よりも,Let's Encrypt のほうが,(ガイドライン上は)国際的に認められているという現実もある.
指摘点がちょっと違うような (スコア:0)
暗号化のためのTLS : 基本は歓迎、LEで不都合はない
サーバ認証のためのTLS : DV SSL(TLS)だと相手の存在が保障できない(のでLEだと...)
となるが
EV SSLなところ : 問題なし
上場企業でLE :
いままでEV SSL : それはさすがに... ★
いままでOV SSL : 見分けはつかないな...
政府系でLE : 本来はEVだとうれしいけど、go.jpだったら(一応)なりすましとかは問題ない(サブレベル単位で保障ともいえる)、なのでDVでも問題はあんまない
ような気がするので★以外はいいんじゃないかなあ...