またSleeviさんがなんかぶっこんでいるのでメモ。
https://groups.google.com/d/msg/mozilla.dev.security.policy/szD2KBHfwl8/kWLDMfPhBgAJ
「EV証明書でもフィッシングサイトつくれるよ」という報告
2017年9月の記事。
EV証明書を取得するには実在の団体の登記が必要だけど、そんなものDark Webで買えるよね、と*1。
So what does an attacker do? Well they can purchase a valid stolen ID for a few pounds from the so called "Dark web" and just use, a service address as the address of the company and the director's home. These service addresses can be bought online for next to nothing.
「ブラウザバーが緑色だ」ということしか見てないと騙される可能性がありますよ、ちゃんと証明書の組織名を確認しましょう、という当たり前の話です。
「EV証明書でつくったフィッシングサイトはより見破りにくいのでアウトでは?」という報告
2017年12月の記事。
このサイトには「Stripe, Inc. (US)」という企業名のEV証明書が使われていますが、
これは同名のオンライン決済サービスとは別の会社です。
「(US)」まで表示が同じなので混乱するかもしれませんが、この2つの会社は州が違います。前者はデラウェア州、後者はケンタッキー州の会社です。こんな感じで同名の会社をつくるのは難しくない一方、それを見分けるのはふつうのユーザには無理ゲーでは?という話。
How can a user tell which one you're talking to? Browsers hide this information at first glance, at most showing the country of incorporation. Obviously, here, both the real and fake Stripe are in the same country. With enough mouse clicks, you may be able to open a system certificate viewer, or get your browser to show you the city and state. But neither of these are helpful to a typical user, and they will likely just blindly trust the bright green indicator.
これは、アドレスバーに何も表示がないのより悪いです。用心深くURLを見るDV証明書の方がまだまし。
「EV証明書でブラウザのURLバーを緑色にするのもうやめない?」という提案
で、冒頭のRyan Sleeviさん(Google/Chromeのひと)のこの投稿につながるわけです。
I suppose this is both a question for policy and for Mozilla - given the ability to provide accurate-but-misleading information in EV certificates, and the effect it has on the URL bar (the lone trusted space for security information), has any consideration been given to removing or deprecating EV certificates? (https://groups.google.com/d/msg/mozilla.dev.security.policy/szD2KBHfwl8/kWLDMfPhBgAJ)
反応
CertCenterという証明書屋さんのCEOがこれに噛みついていたのがあまりに悪役の捨て台詞っぽくて面白かったのでメモ。
Should we talk about „your“ real intentions and why you want to push @letsencrypt? It’s about money, isn’t it? ;) So, keep calm. You’re mighty, man. No doubt.
— Andreas Mallek (@amallek) 2017年12月12日
Sleeviさんの証明書についての考え方はこのあたりのツイート(これにぶら下がって連ツイがあります)からうかがい知ることができます。
Yes. EV's notion of validated identity does not affect any of the Web Security model. That's not to say EV may not be useful in non-browser cases, or may not be useful for non-UI reasons, but the only participant in the web security model is the origin.
— Ryan Sleevi (@sleevi_) 2017年12月12日
感想
9月の記事はイギリスの話で、12月の記事はアメリカです。たぶん日本でEV証明書を取ろうと思うともうちょっと厳しいような気もするので、個人的にはEV証明書の価値はまだちょっとはあるのでは?と思っています。まあ国によるかなと。
...と思ったんですけど、日本だと漢字が違うけど同名の会社とかむしろつくりやすいからアウト?
あとSafari、てめーはだめだ。
*1:この記事に使われた企業はダークウェブで買ったものじゃなくて合法的に設立されたものです