『ブラウザの「SSL証明書が無効」という警告、5割以上のユーザーが無視』って

ブラウザの「SSL証明書が無効」という警告、5割以上のユーザーが無視
と slashdot でタレコミがされていました
「カーネギーメロン大の研究者ら」の報告書の内容の紹介だそうです。

確かに、古いブラウザの場合には小さな alert window が出るだけでしたから
適当に yes とか ok とか押してしまって進む人も居たでしょうけど
近頃のブラウザでもまだ気にせず進んでしまう人がいるんでしょうか

といいつつ無視して進んでしまうこともあるのですが
それは自分で立てたサーバで一時的に暗号化だけ欲しい場合や
検索結果のリンクがメーリングリストのアーカイブなのに何故か SSL で
しかもその証明書が無効なものの場合くらいです
後者は、でも、ちょっとドキドキしながら進んでます

いっそ、全てのブラウザは
無効な証明書使ってるサイトを開けなくしちゃいましょうか??

SSL 証明書使ってても確認しないとフィッシングサイトかもしれない

最近のフィッシングの傾向に関する記事がありました

• SSL証明書を使う詐欺サイトが急増、乗っ取りサーバで運営 - ITmedia エンタープライズ

本国の方のシマンテックの blog の紹介で元はこちら

• Phishing Toolkit Attacks are Abusing SSL Certificates | Symantec Connect

内容はというと、
近頃フィッシングサイトの構築方法として
SSL を使ってるサーバを乗っ取って有効な SSL 証明書を使いつつ
元のサイトとは全く関係の無いフィッシングサイトを表示させるそうです。
これは怖い。乗っ取りというだけでも十分怖いのに。

実在認証の付いている証明書であれば
証明書の中身を見ることによって表示内容と証明書のずれに気付くかもしれません。
EV SSL 証明書が使われていればアドレスバーなどに表示される組織名などで
乗っ取られてしまっているサイトだと気付けるかもしれません、
但し EV SSL 対応のブラウザの利用が前提ですが、もぉ十分普及してるようです。
ドメイン認証のみの証明書の場合は、対策のできませんねぇ、この場合。

まぁ、そもそも乗っ取られないように気をつけなくてはいけないし、
乗っ取られたことになるべく早く気付いて対応することが大切ですよね。
フィッシングに利用されてしまう場合、その乗っ取られたサーバというのは
どのくらい放置されてしまっているのか? という方が気になります。
上手にされちゃうとポツリと1枚だけフィッシングサイトを置かれてしまい
気付かぬままということもありそうです．．．。
アクセスログで気付ければいいですが数か少ないと難しそうですねぇ。

いやぁ、恐しいです。

「デジタル証明書」とは一体どんなもの？ （４択）

• 「デジタル証明書」とは一体どんなもの？：ITpro

という記事がありました。
「説明として誤っているものを1つ選んでください」
なので気をつけて解きましょう。

「細かい技術のことはいいから証明書って何だか理解するのも大切」
かと思うんですが
「細かい技術のこと無しに証明書って何だか理解するって丸暗記?」
とも思い
この間を上手に埋めるって方法は何かないものですかねぇ．．．