ドメイン認証(DV)証明書の危険性への警鐘

2017年9月22日

ニュースソース:Melih Abdulhayoglu Internet Security Blog | From Antivirus to SSL

以下は 2017年9月9日にComodoのCEO・創業者のMelih Abdulhayoglu氏によって公開されたThe case of the “Intended Recipient”を要約したものです。


ドメイン認証(DV)証明書の最もよくない点は、ユーザー名・パスワードを入力するユーザーにサイトが安全だと誤解させることです。
PayPalを騙るフィッシングサイトなどがこの手法を使って個人情報を不正に入手しています。
ドメイン認証(DV)証明書を使うことで安全な通信を示す鍵マークが表示されるため、不正が横行しやすくなります。
Phishing Web Sitesには、多数の有名サイトを騙るフィッシングサイト例が紹介されています。

ユーザー名・パスワードを入力するサイトの運営者は自分だけよければよいということではなく、ドメイン認証(DV)証明書の利用をやめるべきではないでしょうか。
ユーザー名とパスワード(またはその他の機密情報)を通信する場合、最も重要なことは、正しい受信者が情報を受け取ることを確認することです。
ドメイン認証(DV)証明書は「受信者が誰であるかや実在するかなど」を確認することなく自動的に発行されます。

Chromeがユーザー名とパスワード(またはその他の機密情報)を入力するサイトがSSL証明書を利用していない場合に警告を出すようになったことから、残念ながら、ドメイン認証(DV)証明書の利用による消費者被害は増大していくでしょう。