水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 証明書の内容についての記載は必要なのか?

証明書の内容についての記載は必要なのか?

2008年12月1日(月曜日)

証明書の内容についての記載は必要なのか?

公開: 2017年9月22日17時35分頃

SSLを過信していませんか――ネットバンキングに潜む誤解とは (1/2) (www.itmedia.co.jp)」。

しかし、これだけでは十分ではありません。実際にあった例では、フィッシング詐欺の偽サイトがSSLを利用していました。この場合、一見すると施錠された鍵マークが出ているので正規サイトと見分けがつきません。

(~中略~)

ユーザーを大事にしている企業では、トップページなどに「当サイトのSSL証明書には次の様に記載されております」といった形で、内容が掲示されていることもあります。しかし、国内ではこのような対応をしている企業は少ないのが実状です。

いまいち意味が分からないのですが……そのような掲示に、何か意味があるのでしょうか?

ここでは、攻撃者が自サイトの証明書を持っているケースを想定しているのですよね。であれば、攻撃者も「当サイトのSSL証明書には次の様に記載されております」として証明書の内容を記載する事が可能です。よって、その掲示自体が本物なのか否かを確認しなければならないはずですが……この掲示が本物であると確信できる状況なのであれば、証明書の内容に関する掲示は必要ないですよね。

……ちなみに、証明書の名義について記載しているサイトは国内にも実在しています。たとえば、十八銀行の「EV SSLサーバー証明書の採用について (www.18bank.co.jp)」を見ると、このように書かれています。

(2) SSL暗号化通信を表す鍵マークと共に、ウェブサイトを運営している組織名(※)(NTT DATA CORPRATION [JP])とEV SSLサーバー証明書を発行した認証局(VeriSign によって識別)が表示されますので、それぞれを確認してください。

(※) 当行のインターネットバンキングはNTTデータ社のシステムを利用していることから、組織名には同社の名称が表示されます。

※まあ、この記述が攻撃者の用意した偽物という可能性もありますが。

この手の記述はたいてい「当サイトは○○社に運営委託していますので、証明書は○○社のものになります」というような形になっています。攻撃者が「このたび、委託先を○○社に変更しました」と表示したら、あっさり騙されかねない気がするのですが……。

個人的には、こういう記載がある事自体が不自然に感じますし、こういう記載があったら「怪しい」と思ってもらった方が良いのではないかと思います。

関連する話題: Web / セキュリティ / SSL/TLS

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト