SSLの取扱い

IPA テクニカルウォッチ『暗号をめぐる最近の話題』に関するレポート」の2011年5月11日公開分を読んだ。簡単にメモ。

Comodo社による不正SSLサーバ証明書発行

この件はよく知らなかったのだが。
RSAは破られず、秘密鍵が漏洩したわけでもない。
単に一つのユーザアカウントのパスワードがクラックされただけだった。
それを使って、通常の手続きで不正なSSLサーバ証明書が発行されてしまったらしい。

オンラインショッピングサイトでSSLが使われていなかった件

これはひどい。9か月も問題に気付かなかった。運営側も客もひどい。
客は6,064人ほどいたそうだ。
大手百貨店が運営しているということだが。

何より、ユーザがSSLの使い方を知らないことが問題だ。
サーバ証明書の前にサーバの説明が必要なレベルと感じる。

SSLサーバ証明書を使ったフィッシング

すべてのサーバ証明書が信頼できるというものでもない。
実在確認を行わずに発行されるサーバ証明書はDV SSL証明書と言われる。
私はあまり詳しくないが、そのドメインにメールが届けばサーバ証明書を発行してくれる格安の業者は確かにある。
安全を求めるなら、EV SSL証明書を使用しているサイト以外は信用すべきではないだろう。