Let's EncryptとComodoのTLS証明書、96%の詐欺サイトで使用

テクノロジーカテゴリーの変更を依頼記事元:

news.mynavi.jp

52 usersがブックマークコメント

Let's EncryptとComodoのTLS証明書、96%の詐欺サイトで使用

インターネットサービス企業Netcraftは4月12日(米国時間)、「Let's Encrypt and Comodo issue thousands... インターネットサービス企業Netcraftは4月12日(米国時間)、「Let's Encrypt and Comodo issue thousands of certificates for phishing｜Netcraft」において、2017年第1四半期において、フィッシングサイトの約96%は2つの認証局によって発行されたTLS証明書を使っていたと伝えた。61%はLet's Encrypt、36%はComodoによって発行されたものとのこと。この2つの認証局によって発行されたTLS証明書がフィッシングサイトで使われる割合は過去1年間で増え続けている。 Let’s Encrypt and Comodo issue thousands of certificates for phishing｜Netcraftより抜粋フィッシングサイトを用いる攻撃者にとって、Let's EncryptやC

rgfx そらまあSSLであるというだけじゃあ、そういうことであって。SSLではないというのは、そういうことですら無いと言う。

2017/04/17 リンク

nekoruri 便利なものは悪人にも便利、であって、そもそもTLSであることに何の意味も無くなってる。それはそうと、いつの間にか「TLS証明書」と書くようになってるんだなあ。

mumincacao その辺りは EV SSL のお仕事かなぁ？でも性善説ですたーとした仕組みがだめだめになっちゃうのはなんだか残念な世界なのです・・・（－ω【みかん

b-wind “ユーザーはTLS証明書が正規の認証局から発行されたものだとしても、それがフィッシングサイトで使われているものかどうかは判断できない。”

trashtoy たとえ詐欺サイトが軒並み SSL 化対応することになったとしても, 非 https サイトが蔓延するよりはずっとマシ / 通常の SSL が保証するのはあくまでも盗聴・改竄・なりすまし防止だけなので, 接続先の妥当性は自己責任で判断

セキュリティ

2017/04/18 リンク

twoterabytes 証明書発行先で判断する前に、アクセスしようとしてるドメインが信用できるか判断しろよ、証明書は「接続先がそのドメインであること」は証明できる/故に紛らわしいドメインを殺すべきだし、IDNで問題になったわけで

itochan セキュリティソフトで、詐欺サイトでないホワイトリストはないのかな？　中小サイトはフィッシング詐欺などのS/N比が悪いから（顧客リストが漏洩しなければ）、大手だけ保証できればすむはず

2017/04/20 リンク

mollifier べつにいいんじゃないの。同じ詐欺に遭うにしてもhttpよりhttpsになってたほうがまだましなんじゃないの。その詐欺サイト以外からの盗聴は防げるわけだし

2017/04/19 リンク

kasumani Let's EncryptとComodoのTLS証明書、96%の詐欺サイトで使用インターネットサービス企業Netcraftは4月12日(米国時間)、「Let's Encrypt and Comodo issue thousands of certificates for phishing｜Netcraft」において、2017年第1四半期において、フィッシン