水無月ばけらのえび日記

> フィッシング犯が自分で法人を作るなどして、正規の手順で証明書を取得している可能性もあるからです。

もっと閾値は低いです。ジオトラストのSSL証明書はドメインさえ持ってれば個人でも取れます。実際取ったことありますし。

> ※参考 : “本物”のSSL証明書を持つフィッシング・サイト出現 (itpro.nikkeibp.co.jp)

の事例もジオトラストでした。

> IE7 であれば、アドレスバー横のアイコンをクリックして「証明書の表示」をして、「詳細」タブの中の「サブジェクト」を見ます。O= という値が Organization すなわち組織を表しますので、そこにイー・アクセスのものらしい名前が出ていれば大丈夫です。

ですがこんな罠もあります。

http://www.oiwa.jp/~yutaka/tdiary/20050418.html#p01

> まれに O=fs219.xbit.jp のようにドメイン名が入っていたりするケースがありますが、こんな値では運営者が誰なのかさっぱりわかりません。この場合もフィッシング犯が取得した証明書である可能性が否定できませんので、信用すべきではありません。

ジオトラストだからね【コペ】。

>ですがこんな罠もあります。

>http://www.oiwa.jp/~yutaka/tdiary/20050418.html#p01

　ああ、そういえばそんな話ありましたね。

　これ、実際のところどうなんでしょう。深刻な状況なのでしょうか……。

> O= という値が Organization すなわち組織を表しますので、そこにイー・アクセスのものらしい名前が出ていれば大丈夫です。

GeoTrustだと「らしい」名前ならいくらでも・・・

という話は無いですか？(^^;

ってこのネタ前に書いたな↓

http://seldon.cocolog-nifty.com/petapeta/2006/02/ssl.html

>>＜セルダン＞

> GeoTrustだと「らしい」名前ならいくらでも・・・

それは違うよ。

ジオトラストのクイックSSLは、O= がホスト名になる。会社名は入らない。

そういうのを実在証明なしのSSLと言うんだ。ベリサインだと class 1 と呼んでいるね。

> ってか、whoisなんて好き勝手な事が書ける訳で、

> 「oobank information service Inc.」とか勝手に書いておけば

ジオトラストが whois を引くのは、ドメイン管理担当者メールアドレスを取り出すためとリンク先に書いてあるじゃん。

＞通りすがりの者さん

>ジオトラストのクイックSSLは、O= がホスト名になる。会社名は入らない。

なるほど。

でも、ホスト名でも「らしい」ものぐらい簡単にできますね。

たとえば、高木先生が「常陽銀行のリニューアルに期待したがその期待は裏切られた( http://takagi-hiromitsu.jp/diary/20070408.html )」というのを書かれていますが、

CN = www.inb.joyobank.chance.co.jp

O = Regional Banks and Information Technology Solution Co. Ltd.

というのと

CN = joyobank-information-service.com

O = joyobank-information-service.com

というののどちらが常陽銀行のもの「らしく」見えますか？という話になる訳で。

O=fs219.xbit.jpみたいなのだと、確かに「こんな値では運営者が誰なのかさっぱりわかりません。」なんですが、O=joyobank-information-service.comだと「運営者が誰かわかったような*気がする*」のではないでしょうか。