2008年12月08日

SSLを過信していませんか

SSLを過信していませんか――ネットバンキングに潜む誤解とは

怖いタイトルですね
でも、確かに、「鍵・錠のマークが出てれば安心」という認識は
セキュリティーの知識が無いよりも怖い事態を引き起こすかもしれません

SSL/HTTPS という仕組みで一体どのような対策がされるかというと
  • 暗号化による、ブラウザとサーバの間の「盗聴の防止」
  • 暗号化による、ブラウザとサーバの間の「データの改竄の防止」
  • 公開鍵証明書による「サーバー運営者の認証」
の 3 つです

南京錠のマークを見た時点で分かるのは HTTPS 通信だということなので
通信が暗号化されていて「盗聴」や「改竄」の心配が無さそうなことは確認できますが
「サーバー運営者の認証」に関しては実際にSSL証明書の中身を見てみて
ドメイン名や組織名などをちゃんと確認しなくてはいけませんし

ただ、それが分かったからといって通信相手が信頼できる人かというとまた話は別です
認証したからには自分が想定している通信相手なのかどうか確認する必要があります
悪い人が悪いことをしようとして立てたSSL的には正しいサイトかもしれません
まぁ、その場合は証明書に組織名まで書かれるようなものは用意できないと思われますが
例え、リンク先にあるように、「なりすまし」の対策として
ユーザーを大事にしている企業では、トップページなどに「当サイトのSSL証明書には次の様に記載されております」といった形で、内容が掲示されていることもあります。
で、証明書の中身とサイトの記述が一致しているからといって
証明書の記載が確かに自分の通信したい相手であるということが確認できなければ
クレジットカードの番号などの大切な情報を送らない方が良いということです
これは例え EV SSL サーバー証明書であったとしても同じことです
EV SSL サーバー証明書は「安全」であることを保証するものではありません

また、企業情報の載っていたいお安いSSL証明書もあって
その場合はドメイン名しか証明書に書いてなかったりしますが
そのドメインが信頼できるという確かな確信があるのでなければ
やはり大切な情報を送信するべきではありません
posted by OJH at 03:14| Comment(0) | TrackBack(0) | ニュース | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。