[SlashdotJ] 「本物の」サーバ証明書を持つフィッシングサイト
どんなフィッシングサイトがあったのかを正確に理解しておく必要があるニュースといえるでしょう。
このフィッシングサイトはルート証明書よりたどれるSSLサーバ証明書を持っていました。つまり、rarul.comというサーバが証明書を持っていてそれが正当(=ルートからたどれる)なものであった場合です。このときユーザは、SSL通信を使ってrarul.comと安全に通信できます。途中で改ざんされたり、通信先が本当はrarul.comじゃなかったり、といったことがないということです。
しかしこの方式では、rarul.comの存在性とその本人性は保証できるものの、rarul.comがそもそも信用できるのかどうかはわかりません。rarul.comがワルだった場合、送られたデータが悪用されることが十分あり得るということです。データを送る先が本当に2ちゃんねるであるかどうかを保証してくれるだけで、2ちゃんにデータを書いても安心だというわけではないのと同じです。そんなフィッシングサイトがあったというのがこのニュースの意味となります。
結局、rarul.comというドメイン(とそれを所有する組織)の社会的信頼性は、各自で判断せざるを得ないということです。つまりrarul.comというドメインは信用に足るかどうかをユーザが判断しないといけないということです。
ちなみに、今回のはいわゆるオレオレ証明書とは違います。オレオレ証明書の場合、ウソつき者(かどうかもわからないやつ)の言うことを信じるのかどうか、という話になります。ウソつき者の言った言葉を耳に入れるまでの途中で改ざんがなされている可能性もあるし・・・と。
どんなフィッシングサイトがあったのかを正確に理解しておく必要があるニュースといえるでしょう。
このフィッシングサイトはルート証明書よりたどれるSSLサーバ証明書を持っていました。つまり、rarul.comというサーバが証明書を持っていてそれが正当(=ルートからたどれる)なものであった場合です。このときユーザは、SSL通信を使ってrarul.comと安全に通信できます。途中で改ざんされたり、通信先が本当はrarul.comじゃなかったり、といったことがないということです。
しかしこの方式では、rarul.comの存在性とその本人性は保証できるものの、rarul.comがそもそも信用できるのかどうかはわかりません。rarul.comがワルだった場合、送られたデータが悪用されることが十分あり得るということです。データを送る先が本当に2ちゃんねるであるかどうかを保証してくれるだけで、2ちゃんにデータを書いても安心だというわけではないのと同じです。そんなフィッシングサイトがあったというのがこのニュースの意味となります。
結局、rarul.comというドメイン(とそれを所有する組織)の社会的信頼性は、各自で判断せざるを得ないということです。つまりrarul.comというドメインは信用に足るかどうかをユーザが判断しないといけないということです。
ちなみに、今回のはいわゆるオレオレ証明書とは違います。オレオレ証明書の場合、ウソつき者(かどうかもわからないやつ)の言うことを信じるのかどうか、という話になります。ウソつき者の言った言葉を耳に入れるまでの途中で改ざんがなされている可能性もあるし・・・と。