EV証明書を「ゴミ」にした原因の一つはNTT DATAを始めとする誤ったサーバ証明書の運用だよなあ。「一度きりのチャンス」だったのに、こういうのを許してしまったことも含めてなにもかも詰めが甘かった。https://twitter.com/ivarn/status/1193117728686522368…
Show this thread
Keyboard shortcuts are available for common actions and site navigation.
Aki Retweeted アイヴァーン
EV証明書を「ゴミ」にした原因の一つはNTT DATAを始めとする誤ったサーバ証明書の運用だよなあ。「一度きりのチャンス」だったのに、こういうのを許してしまったことも含めてなにもかも詰めが甘かった。https://twitter.com/ivarn/status/1193117728686522368…
Aki added,
高木氏が自身のサイトで指摘されていた当時においても、地銀によっては NTT DATA によって運営されているのでそうなっていると説明されていたところもあったようです。 なぜ説明しない地銀があるのか?という点は問題だと思いますが…。
これに関しては「インターネット上の身元確認手段として設計されたはずのEV証明書において、サービス提供主体とシステム運用者を区別せず”発行されてしまう”」というWebTrust自体の考慮不足が根本原因なので、NTT DATAに発行されてしまった時点で”負け”なんだと思います。
付け加えなら、それを運用でカバーしていく道を閉ざしたのは、システム運用者だから問題ないとしたNTT DATAらであるとは思いますが、やはりそもそもサービス提供主体以外の組織名で証明書を発行すべきではありませんでした。