証明書の内容についての記載は必要なのか?
2008年12月1日(月曜日)
証明書の内容についての記載は必要なのか?
公開: 2024年4月19日17時35分頃
「SSLを過信していませんか――ネットバンキングに潜む誤解とは (1/2) (www.itmedia.co.jp)」。
しかし、これだけでは十分ではありません。実際にあった例では、フィッシング詐欺の偽サイトがSSLを利用していました。この場合、一見すると施錠された鍵マークが出ているので正規サイトと見分けがつきません。
(~中略~)
ユーザーを大事にしている企業では、トップページなどに「当サイトのSSL証明書には次の様に記載されております」といった形で、内容が掲示されていることもあります。しかし、国内ではこのような対応をしている企業は少ないのが実状です。
いまいち意味が分からないのですが……そのような掲示に、何か意味があるのでしょうか?
ここでは、攻撃者が自サイトの証明書を持っているケースを想定しているのですよね。であれば、攻撃者も「当サイトのSSL証明書には次の様に記載されております」として証明書の内容を記載する事が可能です。よって、その掲示自体が本物なのか否かを確認しなければならないはずですが……この掲示が本物であると確信できる状況なのであれば、証明書の内容に関する掲示は必要ないですよね。
……ちなみに、証明書の名義について記載しているサイトは国内にも実在しています。たとえば、十八銀行の「EV SSLサーバー証明書の採用について (www.18bank.co.jp)」を見ると、このように書かれています。
(2) SSL暗号化通信を表す鍵マークと共に、ウェブサイトを運営している組織名(※)(NTT DATA CORPRATION [JP])とEV SSLサーバー証明書を発行した認証局(VeriSign によって識別)が表示されますので、それぞれを確認してください。
(※) 当行のインターネットバンキングはNTTデータ社のシステムを利用していることから、組織名には同社の名称が表示されます。
※まあ、この記述が攻撃者の用意した偽物という可能性もありますが。
この手の記述はたいてい「当サイトは○○社に運営委託していますので、証明書は○○社のものになります」というような形になっています。攻撃者が「このたび、委託先を○○社に変更しました」と表示したら、あっさり騙されかねない気がするのですが……。
個人的には、こういう記載がある事自体が不自然に感じますし、こういう記載があったら「怪しい」と思ってもらった方が良いのではないかと思います。
- 「証明書の内容についての記載は必要なのか?」にコメントを書く
- 前(古い): ハッカー志願者?
- 次(新しい): 森の生活 12日目: リセット監視センターとイトウと
