- 1 名前:名無しさん@お腹いっぱい。 [2015/11/30(月) 18:01:15.69 0.net]
- 2015年12月3日 に 公開ベータ(Public Beta)が開始される予定の Let's Encrypt のスレです。
これは、いわゆる無料の SSL/TLS 証明書なわけですが、ブラウザ Mozilla Firefox を作っているモジラ財団とか、
ネットワーク機器大手のシスコとか、ネットワークインフラ大手のAkamaiとかが出資している大規模なプロジェクトなので、
途中で有料化したり、サービス停止になったりする心配もありません。
さらに、全ブラウザにルート認証局として入っているアメリカの最大手CA IdenTrust の傘下の証明書という扱い(クロスルート)になったので、
クローズベータをやっている現時点でも、全ブラウザに対応しているという神証明書です。
はっきりいって、IdenTrust の証明書をけっているブラウザなんて考えられないので、ジオトラストとかのドメイン認証証明書と同格以上の証明書が
無料で手に入ることになります。
明々後日からは、専用クライアントをダウンロードして、コマンドを実行するだけで、VPS など root 権限があるサーバとドメインがあれば証明書が入手可能なので、
期待しておきましょう。
もう、SSL/TLS の証明書にお金をかける時代はおわったのです(ただし、実在証明を含むEV証明書を除く)
【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/
【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt
【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/
【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/
- 175 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/24(木) 22:57:47.13 0.net]
- >>166
VPSレンタルサーバーで使っていますよ。
httpもpopも色々なドメインが1の種類のファイルで済むので楽だね。
- 176 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/25(金) 12:08:40.38 0.net]
- さくらのレンタルサーバで試してみようと思って調べてみましたが、結構面倒くさそうですね
https://msnr.net/2015/12/letsencrypt.html
- 177 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/25(金) 20:20:41.82 0.net]
- 時刻まで気にするってのはあまりないんだけどさ、こう気軽に発行できてじっくりながめることができて気づいたんだけど、
ちょうど1時間ずれるのは、こういうもんなの?
それとも Let's Encrypt だけ?
- 178 名前:172 mailto:sage [2015/12/25(金) 20:34:41.99 0.net]
- >>172
書いたあとに自分でググった。
https://community.letsencrypt.org/t/time-zone-problem-with-issue-date/3151/11
あえて1時間ずらしてるらしい。時計が多少狂っていても大丈夫なように。
- 179 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/25(金) 22:30:16.70 0.net]
- >>171
そもそも共用サーバじゃできないよ
- 180 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/25(金) 23:44:44.98 0.net]
- >>174
何が出来ないのさ?
- 181 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/25(金) 23:53:03.77 0.net]
- おまえさんの使ってるどこぞの共用サーバは独自SSLが使えると仕様にあるのかい?
- 182 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/26(土) 00:01:51.12 0.net]
- >>176
本当に知らんのか?
www.sakura. ne.jp/news/sakurainfo/newsentry.php?id=1018
https://help.sakura. ad.jp/app/answers/detail/a_id/2326/~/ssl%E3%82%92%E5%88%9D%E3%82%81%E3%81%A6%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B
つーか、お前>>171のリンク先見てないだろ? 👀
Rock54: Caution(BBR-MD5:0dc23c366b23c59a9fe320a62dd69b5a)
- 183 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/26(土) 00:23:47.38 0.net]
- アフィリブログ踏めとかワロタ
- 184 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/26(土) 00:25:44.43 0.net]
- >>178
恥ずかしい奴だな
- 185 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/26(土) 00:32:27.12 0.net]
- リンク踏めとかウィルス製作者がよく言うセリフだな
通報しておいた
- 186 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/26(土) 00:36:24.47 0.net]
- Cautionって書いてあるしな
- 187 名前:名無しさん@お腹いっぱい。 [2015/12/26(土) 02:08:20.88 0.net]
- 伊藤正典さん?
Registrant Name: MASANORI ITO
Registrant Organization: MSNR.NET
Registrant Email: POSTMASTER@MSNR.NET
Created Date: Sunday, December 16th, 2001
Updated Date: Sunday, November 17th, 2013
Expires Date: Friday, December 16th, 2016
Admin Name: MASANORI ITO
Admin Organization: MSNR.NET
Admin Email: POSTMASTER@MSNR.NET
- 188 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/27(日) 10:58:50.18 0.net]
- こういう
- 189 名前:知ったかをなんとかして欲しいわ []
- [ここ壊れてます]
- 190 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/27(日) 22:19:33.85 0.net]
- 粘着って何処でスイッチが入るか分からんね。
- 191 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/27(日) 23:53:53.89 0.net]
- 知識をひけらかそうとしたら、無知を露呈させちゃって顔真っ赤になったんでしょ
素直に知らなかったと認めれば良いのに、関係ない事にいちゃもんつけたあげく、
あまつさえ無関係なブログの人を晒すとか・・・
いくら公開情報だからって非常識すぎ
- 192 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/28(月) 10:17:57.80 0.net]
- >>171
>>177
さくらのレンタルサーバーでも、Let's Encryptを使えるということですが、
でも、Let's Encryptって、動的に短期間で更新処理を行ってroot権限で再配置する必要があったんじゃなかったんですか?
- 193 名前:186 mailto:sage [2015/12/28(月) 10:33:08.20 0.net]
- >>186自己レス
>>171のリンクを読みました。
更新処理用のマシン(root)を別途用意してますね。
でも、証明書のアップロードは手動なんですか。
90日ごとに手動でこの操作が必要なの?
- 194 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/28(月) 11:20:41.70 0.net]
- いやまあポート80、、という1024以下のポート使うならroot必須だろう
- 195 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/28(月) 11:37:12.39 0.net]
- >>188
デーモンを起動することを言っている?
- 196 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/28(月) 11:38:44.88 0.net]
- あと証明書の同期は手動でも自動でも好きにしたらいいじゃん
- 197 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/28(月) 11:40:30.42 0.net]
- >>189
ポート80で受けるならその時点ではrootが必要なのは当たり前、という話
わざわざrootて書いてるからさ
- 198 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/28(月) 11:41:50.64 0.net]
- どいつもこいつも
- 199 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/28(月) 11:43:02.18 0.net]
- >>190
証明書の同期?crontab?
そして、RSYNCで?、FTP?、SCP?
疑問
1、証明書関係のファイルのコピー(同期)って、
さくらのレンタルサーバーでできるの?
やったことがないから知らないが、証明書って特定のディレクトリに収める必要があって、
そこの書き込みにはroot権限が要るんじゃない?
2、さくらのレンタルサーバーで、同期の手段って、どっちの方向へアクセスできる?
さくらレンタルサーバー → 取得専用自分マシン
取得専用自分マシン → さくらレンタルサーバー
- 200 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/28(月) 11:47:30.28 0.net]
- >>191
>ポート80で受ける
?postで証明書ファイルを受けるの?それは怖いことだ。
- 201 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/28(月) 11:51:32.25 0.net]
- ドメインが有効かを向こうが80でアクセスしてくるだろ
仕組みもよく知らんで茶々いれてんじゃないよ
- 202 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/28(月) 11:53:36.39 0.net]
- サクラの共有よくしらんけど、VirtualHost使ってんじゃないの?
だったらその定義ファイルに証明書の場所書いてあるはずだし
そこがrootである必要はない
- 203 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/28(月) 12:09:34.61 0.net]
- さくらの共用の話はさくらの共用鯖スレでやれよ
- 204 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/28(月) 14:56:16.94 0.net]
- ヘルプ見れば解決するやろ
何を見当違いな話しとんや?
無料っていろいろと危険なんやなぁ
- 205 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/28(月) 16:35:58.82 0.net]
- これだけ情報出てて理解できない奴は諦めろよ。
- 206 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/28(月) 17:53:37.03 0.net]
- Let's Decrypt
- 207 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/28(月) 18:10:51.44 0.net]
- レンタル系の特殊な環境は別でスレたてれば?w
- 208 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/29(火) 21:32:12.22 0.net]
- 複数のサーバーの証明書を1台の親玉サーバーで一元管理(取得・更新・配布)したい場合
webroot モードで NFS で /var/www/〜 を共有するか、manual モードでやるしかないっぽいけど
なんかもっといい方法ないかな
有効期限短いからcron自動化したいけど、各サーバーに lets クライアントを入れて回るのは嫌だな
- 209 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/29(火) 23:35:22.74 0.net]
- >>202
rsyncで、マスターマシン内の証明書を、他のマシンと同期するとかは?
- 210 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/30(水) 01:23:44.93 0.net]
- 放置する阿呆がいるからこまめに面倒見るようにと1年更新じゃないのに
阿呆はさらに余計なことをしようと
- 211 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/30(水) 07:29:07.37 0.net]
- もし証明書が中途半端になってるとアウトだから自動更新はしたくないけどな。
- 212 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/30(水) 10:10:24.58 0.net]
- 自動化はサーバーの基本だろ
- 213 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/30(水) 13:33:46.66 0.net]
- リバースプロキシサーバをたてて、そこでまとめてSSL化すればいい
バックのサーバ群はSSLしない
ただいろいろと修正がいるだろうけど
- 214 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/30(水) 16:57:06.46 0.net]
- >>207
それが一番いいな
- 215 名前:sage [2015/12/30(水) 22:35:33.54 0.net]
- ブラウザで取得できるらしい。
ttps://sslnow.ml/
誰か試してみて
- 216 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/30(水) 23:01:50.13 0.net]
- テメェで確認しろ
- 217 名前:softbank.jp mailto:RC4 / 128 ビット暗号 [2015/12/31(木) 10:25:07.77 0.net]
- TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 2048 ビット交換
sha1RSA
CN = avast! Web/Mail Shield Root
O = avast! Web/Mail Shield
OU = generated by avast antivirus for SSL/TLS scanning
https://my.softbank.jp/msb/d/top
TLS 1.0、RC4 / 128 ビット暗号 (高); RSA / 2048 ビット交換
TLS 1.0、Triple DES / 168 ビット暗号 (高); RSA / 2048 ビット交換
TLS 1.0、AES 128 / 128 ビット暗号 (高); RSA / 2048 ビット交換
TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 2048 ビット交換
https://www.virustotal.com/en/file/7b6af39264f866465b0d68e0a57ba08bba6c28cb2b1f47e9f7b5767c017680be/analysis
- 218 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/04(月) 21:59:17.11 0.net]
- さくらのレンタルサーバ上で使う方法は、
--manualするの面倒で別のFreeBSDマシンからsshfsして--webroot指定で取得したんだが
まとめるの面倒なのでやってないけど分かる人には分かるってことで。
なので、CentOSからでもsshfsいければいけるはず。
あとはコントロールパネルから手動でアップロードしないといけない点については
スクリプト書けばよさそうだけど、まだ書いていない。
- 219 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/04(月) 22:22:51.82 0.net]
- "All ISRG keys are currently RSA keys. We are planning to generate ECDSA keys in early 2016."
https://letsencrypt.org/certificates/ より
ECDSAが無料で体験できるのが待ち遠しいなぁ
RSAとECDSAのDual署名はopensslが対応しているのでapache他多数でも使えるハズ
- 220 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/08(金) 02:05:25.98 0.net]
- ssl/tslでは、どのタイミングで、設定されたドメイン名が使われるんですか?
自分のドメイン名を設定する意味がいまいちピンとこなくて。
- 221 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/08(金) 08:29:16.99 0.net]
- >>214
そりゃ、アクセスされた時でしょ。
証明書に書いてあるドメイン名とアクセスしてるドメイン名が一致してますよって証明書だよ。
- 222 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/08(金) 15:21:46.72 0.net]
- >>215
ありがとうございます。
クライアント側が、
サーバ証明書に記載されているサーバのドメイン名と、自分がアクセスしている先のドメイン名とを
照合しているってことかな。
なんか緩いなあと感じるが、
サーバ証明書は、第三者機関からデジタル署名を受けているんだよね。
でもそれって、含まれている公開鍵だけじゃなかったっけ。
その署名された公開鍵にも、サーバのドメイン名って含まれているのかな。
それなら、冒頭の、クライアント側でのドメイン名の照合には意味があるね。
- 223 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/08(金) 16:19:52.75 0.net]
- いろいろ突っ込みたいが、とりあえず板違いと思う
- 224 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/09(土) 12:17:01.50 0.net]
- 先生!! これ letsencrypt-auto に任せず手動で出来るもんなのでしょうか
letsencrypt-auto の中身みてみたらどうもpythonのvirtualenvが必須のようで、
しかも自動でgccとか触って欲しくないものを強制的に更新・インストールしようとしてくれちゃうのでさっき実行しかけて慌てて止めました
最低限不要なものをインストールしないで済むなら、少々.shなり.plなり書く労力は受け容れるんですが
- 225 名前:218 mailto:sage [2016/01/09(土) 14:02:15.45 0.net]
- すまん自己解決しました
letsencrypt-nosudoで、途中関係ない問題が出て手間取ったけどもあっさりできた
あとでこれ参考にcronで走らせられる完全自動化バッチか何か書くことにします
- 226 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/09(土) 23:37:52.01 0.net]
- うむ。gcc はともかく、python のライブラリやそれが依存するライブラリが色々入るのはあまり歓迎しない。
しかも、最初のドメイン名やメールアドレスの対話入力のためだけにTUIの環境が要求されるのは
なんじゃそりゃーと思った
CUIでいいじゃんね…
- 227 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/09(土) 23:46:38.09 0.net]
- >>216
>クライアント側が、
>サーバ証明書に記載されているサーバのドメイン名と、自分がアクセスしている先のドメイン名とを
>照合しているってことかな。
YES.
もちろんその証明書の正当性有効性自体も。
>サーバ証明書は、第三者機関からデジタル署名を受けているんだよね。
YES.
>でもそれって、含まれている公開鍵だけじゃなかったっけ。
NO.
- 228 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/10(日) 01:29:13.49 0.net]
- 好きなの使えばいい
https://community.letsencrypt.org/t/list-of-client-implementations/2103
- 229 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/12(火) 10:35:21.50 0.net]
- こんなとこにスレあったのか
いつの間に・・・
- 230 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/13(水) 23:03:20.93 0.net]
- しかし、説明どおりにやって cron 登録までいくと
大して話題が無いという…
- 231 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/13(水) 23:18:28.74 0.net]
- ところで80番開けてないと更新できないの?
できればweb鯖止めたくないなーと
- 232 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/13(水) 23:21:19.34 0.net]
- あるよ
- 233 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/13(水) 23:50:00.77 0.net]
- Let'sEncryptのIPだけ別マシンにルーティングすればいいか
- 234 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/14(木) 01:29:02.91 0.net]
- いつIPが変わるかわからんけどな
- 235 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/14(木) 02:12:02.42 0.net]
- 広告ウイルスに悪用されたんだってよ
- 236 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/14(木) 09:25:40.12 0.net]
- >>228
最初にweb鯖止めないで公式蔵動かして繋いできたそれっぽいリモホのIP使えばええんやろ
- 237 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/14(木) 15:52:02.94 0.net]
- >>224
cron の周期はどれくらい?
毎週?
- 238 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/14(木) 17:04:52.37 0.net]
- >>229
最近のアンチウィルスソフトはSSL通信の監視も出来るけど
そのためにオレオレ証明書を入れてクライアントを騙したりするし
SSL通信の内容がアンチウィルスソフトメーカーに筒抜けになる気がして
機能OFFにしてるんだよなぁ
Let's Encryptの登場で今後不正サイトがSSL/TLS化されるって言われてるし、
監視しないと心配になってきたな
- 239 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/14(木) 20:27:42.19 0.net]
- 証明書が悪用されたと発覚しても revoke しないポリシーってどうなんだ。
イタチごっこなのはわかるんだが。
以下ちょっと長い引用
>Let's Encryptは証明書を発行する前にGoogleのSafe Browsing APIを用いてドメインが
>悪用されていないか確認しているが、発行後の確認は行っていない。
>Trend Microのブログ記事では発行後にドメインの悪用が確認された場合、認証局が証明書を
>取り消すべきだと主張する。
>一方、Let's Encryptのサービスを提供するInternet Security Research Group(ISRG)の
>Josh Aas氏は発行後の取り消しについて、効果的でなく現実的でもないとしている。
- 240 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/14(木) 21:54:17.88 0.net]
- Let's Encryptの証明書、不正広告攻撃に悪用される
srad.jp/story/16/01/10/1837213
- 241 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/14(木) 22:19:33.43 0.net]
- まあ期限を短くしてくのが効果的だろうね
そもそも現状の証明書の扱いに問題があるわけだけれども
- 242 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/14(木) 22:56:47.10 0.net]
- >>234
証明書発行機関はインターネットの警察ではない
DV証明書はそのドメインと暗号化通信していることを保証するだけでそのサイトの善悪までは知らん
というのはエンジニアとしてはものすごく正しいことを言っているのだが
実際にインターネットを利用して被害にあうエンドユーザーには通じない
最終的にLet'sの証明書は信用できない、Let'sはウィルス、マルウェア被害を助長する悪の組織、
みたいにならなければいいけど
- 243 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/14(木) 23:18:54.14 0.net]
- もうなりつつあるんじゃないかなぁ
多数の人の中で証明書の正しさとSSL/TLSであることがごっちゃになってるし
- 244 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/14(木) 23:27:15.43 0.net]
- 例えば無料DV証明書でも
example.com + www.example.com の証明書は取れても
それのサブドメイン sub.example.com は取れないみたいな制限あること多いよね
あとは親ドメインの証明書を他の人が取ってたらそれのサブドメインの証明書は取れないみたいなのとか
Let's Encrypt ってそーいう制限ないから domain shadowing と相性ピッタリなんだよね
- 245 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/14(木) 23:39:37.41 0.net]
- 他人がどうやってサブドメインできるの?
- 246 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/14(木) 23:45:37.58 0.net]
- 例えば無料のHPでサブドメインが割り当てられるなんてのはよくあるやつだろ
- 247 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/14(木) 23:48:47.11 0.net]
- >>239
domain shadowing
- 248 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/15(金) 00:42:06.65 0.net]
- 責任の所在がどこにあるかは別にして
被害者を少しでも減らすためにもうちょっと対策考えるべきじゃね
義務じゃないけど努力義務的な感じで
トレンドマイクロから通報されてrevokeするのがそんなに大変な作業かね
- 249 名前:セキュリティ証明書には問題があります mailto:Harmony(Test).cer [2016/01/15(金) 00:54:26.45 0.net]
- この Web サイトのセキュリティ証明書には問題があります。
nakedsecurity.sophos.com/2013/05/27/anatomy-of-a-change-google-announces-it-will-double-its-ssl-key-sizes/
この Web サイトで提供されているセキュリティ証明書にはエラーがあるため、
信頼しないでください。
セキュリティ証明書の問題によって、詐欺や、お使いのコンピューターから
サーバーに送信される情報を盗み取る意図が示唆されている場合があります。
- 250 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/15(金) 09:27:06.60 0.net]
- >>242
まあむこうの考える理想としてそういうことをやってはいけないのだろう
現状を変えたいのだと
- 251 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/15(金) 11:26:21.77 0.net]
- 今のままじゃブラウザで不正証明書の警告が出ないオレオレ証明書と同じじゃないか
- 252 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/15(金) 11:41:11.89 0.net]
- 同じだよ?
全くその通りだしめざしてるのはそれだろ
目的は単純な暗号化なんだから
- 253 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/15(金) 11:56:38.71 0.net]
- 正しい証明書であることとサイトの信頼性はまったくべつのはなしだ
DV証明書ってそういうものだろ、という、繰り返されたいつものやつ
- 254 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/15(金) 12:05:32.59 0.net]
- だが消費者は納得しない
なぜかといえばブラウザが緑になるせいでhttps=安心安全と教育されてきたから
- 255 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/15(金) 12:14:50.59 0.net]
- 緑になるのはEVだしかなり最近の話だな
鍵マークみたいなのが出るのは昔からだが
まぁ鍵マークとURLを確認=安全って教えられてるわな
- 256 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/15(金) 12:16:43.45 0.net]
- >>249
緑に関してはもちろんそうだけどもEVとDVの違いをちゃんと理解して使ってる奴がどのくらいいるのかとね
- 257 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/15(金) 12:20:28.94 0.net]
- 「このWebサイトは認証されています。このサイトとの通信は安全です」
↓
通信は安全だけど、サイト自体はフィッシングサイトかもしれない、ウィルス流し込まれたかもねー
って一般には理解できんと思うが、そーいう目的だと言われたらもうここの発行した証明書を
ブロックするしかないな
- 258 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/15(金) 14:29:43.02 0.net]
- >>251
だったら、RapidSSL とかグローバルサインとか含めて、DV証明書全部ブロックしたら?
DV証明書っていうのはそういうもんだからね
言っとくけど、フィッシング詐欺やらウイルス配布やらに悪用されているDV証明書なんて山ほどあるから
Let's Encrypt を糞会社のトレンドマイクロが叩いただけで、それ以外の既存の大手CAのDV証明書だってフィッシングサイトなどに悪用されてる
サイトを信頼したいなら、その法的に実在している法人や団体が運営していることを証明している
アドレスバーが緑色になるEV証明書だけ信頼していればいいでしょ
文句いってるトレンドマイクロの方が明らかにおかしなセキュリティ会社なんだけどね
トレンドマイクロの「パスワードマネージャ」が、localhostでNode.jsを使ってHTTPサーバーを実行していて、
全世界から任意のコードを実行できて、記録されたパスワードも盗用可能という致命的な脆弱性があるという糞会社だからセキュリティを語る資格はない
てか、パスワードマネージャに HTTPD が入ってるとか、脆弱性以前にバックドアとしか言いようがない糞設計だよね
ウイルス対策ソフト自体も誤検出放置で信頼性皆無だし
it.srad.jp/story/16/01/14/0853225/
- 259 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/15(金) 18:55:27.50 0.net]
- こういうことが続いてLet'sの証明書が信用失ってブロックされたら困るよねーって話だし
トレンドマイクロ叩きとかどうでもいいし
何ヒートアップしてんの
- 260 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/15(金) 18:57:36.35 0.net]
- 全ては無知な大衆が悪い
- 261 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/15(金) 21:11:13.99 0.net]
- なんかここではDV証明書の議論になってるけど
トレンドマイクロが危惧してるのは今回の domain shadowing の手法と
サブドメインだけで証明書を取りまくれる仕様の合わせ技って
ところじゃないかな
もちろん他にもそういうザル認証局はあるんだろうけど、Let's Encrypt は自動化しやすいし…
ほら、無職ニートとかが変態的犯罪を起こすと「犯人の自宅にはアニメのDVDが大量にあり…」
みたいな恣意的な報道されるじゃん? あんな感じでさ
今回の件で Let's Encrypt が悪いとは思わないけど
今後 Let's Encrypt が悪者にされるのは心配だよね
- 262 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/15(金) 23:27:21.86 0.net]
- 証明書で証明できるものは、公開鍵の正当性だけ
公開鍵証明書という正式な名称使った方が誤解ない
- 263 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/16(土) 00:24:22.54 0.net]
- で、その公開鍵証明書にはサーバー用、クライアント用、S/MIME用、アプリ署名用とかいろいろあって
それを区別するためにだな。。。
- 264 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/16(土) 00:26:26.02 0.net]
- >>257
サーバー用公開鍵証明書、
クライアント用公開鍵証明書、
S/MIME用公開鍵証明書、
アプリ署名用公開鍵証明書
という正式な名称使った方が誤解ない
- 265 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/16(土) 02:35:20.81 0.net]
- イヤなら金払ってもっと上の証明書を使うなりすればいいじゃない。
俺はそれがイヤだから無料の Let's Encrypt を使っているだけというね。
暗号化経路さえ確保出来ていればそれでいいよ。
- 266 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/16(土) 11:04:36.54 0.net]
- そう言う話ではないと思うが
- 267 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/17(日) 00:38:25.41 0.net]
- >>260
暗号化とデータの保証では駄目なん?
- 268 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/17(日) 00:49:40.72 0.net]
- またDV証明書の問題に論点すり替えか
- 269 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/17(日) 12:28:29.61 0.net]
- >>262
今時大手CAもDV証明書売ってるし、フィッシングサイトが HTTPSに対応しているなんてのは今時当たり前(大手CAのDV証明書利用)であって、いちいちニュースにもならない。
ニュースになったとしても、○○銀行のフィッシング詐欺サイトがどうのこうのと注意喚起されるだけで、どこの証明書が使われたなんてのは記事にならない(実際どうでもいいし)。
ところが Let's Encrypt の証明書が使われたときだけ騒ぐというのは嫌がらせとしか思えない
大手CAと違って広告費払ってくれない非営利団体運営だから、叩きやすいんだろうね
一方、DVやってるジオトラストは、シマンテック・ベリサイン系列だから気軽に叩く訳にはいかんだろう
- 270 名前:オ []
- [ここ壊れてます]
- 271 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/17(日) 13:15:52.43 0.net]
- 最初の発行時だけ手動の操作による認証が必要にすればいいんじゃないのかな?
自動化は更新だけで十分だよね
- 272 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/17(日) 15:44:56.75 0.net]
- >>264
そんなことはジオトラストとかの大手DVもやってなくて機械的に取れるんだけど
だいたい、手動による認証ってなんか意味あるの?
証明書取得時だけ普通のサイトっぽくして、証明書取得後にフィッシングサイトに書き換えられたら終わりじゃん
もうちょっと考えてから書き込んだら?
- 273 名前:この Web サイトのセキュリティ証明書には問題があります mailto:Harmony(Test).cer [2016/01/17(日) 15:46:37.77 0.net]
- /;;;;;;;;;;;;;;;;:.
i;;;」' __ __i
|;;| '・`, '・`{
(6|}. ・・ } 嫌なら使うな!
ヽ 'ー-ソ
ノ、ヽ_/
/, ヽ
ト,.| ト|
- 274 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/17(日) 15:47:34.51 0.net]
- 手動による認証ってなんだ?
電話やSMS確認でもするんか?
大概のことは自動化余裕だぞ
- 275 名前:名無しさん@お腹いっぱい。 mailto:sage [2016/01/17(日) 16:27:20.78 0.net]
- >>266
なにを?
|
 |
