?-10-9~2023-10-9 - Posting @kuropen@mi.kuropen.org

09:21:14 Kuropen @kuropen@mi.kuropen.org

おはようございます。

16:44:05 Kuropen @kuropen@mi.kuropen.org

2023-10-09 16:40:26 Posting スラド(RSSfeed) srad@chaosphere.hostdon.jp

【 #スラド #RSSfeed 】
日経XTECH曰く「SSL証明書の発行者がLet's Encryptならまず詐欺」
https://security.srad.jp/story/23/10/09/0328248/

https://security.srad.jp/story/23/10/09/0328248/

日経XTECH曰く「SSL証明書の発行者がLet''s Encryptならまず詐欺」 | スラドセキュリティ

16:52:50 Kuropen @kuropen@mi.kuropen.org

2023-10-05 07:44:11 Posting 無宛＠零月のラウラ良かった…… LwVe9@mstdn.poyo.me

This account is not set to public on notestock.

16:53:19 Kuropen @kuropen@mi.kuropen.org

Cloudflareなど、CDN・WAF・LBなどのシステムが自動的にSSL証明書を割り当てる機能があるならば、サイト管理者に特別な意図がなければLet's Encryptなどの証明書が割り当てられ、管理者としても金銭や作業コストの面で助かっている面があるが、それを詐欺として切り捨てるのだろうか。

16:54:33 Kuropen @kuropen@mi.kuropen.org

2023-10-09 16:54:21 Posting もちゃ(あと-17.00Kg) mot@mastodon.motcha.tech

This account is not set to public on notestock.

16:55:51 Kuropen @kuropen@mi.kuropen.org

2023-10-09 16:55:28 Posting なかはらいちろう lithium03@mastodon.lithium03.info

This account is not set to public on notestock.

16:55:53 Kuropen @kuropen@mi.kuropen.org

2023-10-09 16:53:12 Posting なかはらいちろう lithium03@mastodon.lithium03.info

This account is not set to public on notestock.

16:58:31 Kuropen @kuropen@mi.kuropen.org

2023-10-09 16:57:15 Posting おさ osapon@mstdn.nere9.help

会社名が表示されるのは、同じ名前の会社が作れるから意味ないってなっちゃったんだよね。

17:02:05 Kuropen @kuropen@mi.kuropen.org

日本政府が出資する特殊会社などと同名の法人を登記することは法律で禁止されていることを除き、同名の法人登記は可能。
過去には同一市区町村内に同名の法人を設立してはいけないというルールがあったが撤廃されている。
https://www.dreamgate.gr.jp/contents/faq/f-establishment/45604

https://www.dreamgate.gr.jp/contents/faq/f-establishment/45604

同じ会社名での設立はできますか？

17:04:00 Kuropen @kuropen@mi.kuropen.org

2023-10-09 16:58:38 Posting 金具.mikutter cobodo@social.mikutter.hachune.net

This account is not set to public on notestock.

17:04:22 Kuropen @kuropen@mi.kuropen.org

そういう名前の法人を登記していたという経緯を忘れてた。

17:05:29 Kuropen @kuropen@mi.kuropen.org

2019年のChrome 77, Firefox 70で、アドレスバー横へのEV SSL証明書の発行元表示は廃止されている。EV SSL証明書に不適切な名称を表示させる（そういう名前の法人を設立していれば可能）ことによってユーザーに対する心理操作が行われる可能性があるためという。
https://forest.watch.impress.co.jp/docs/news/1206272.html
https://forest.watch.impress.co.jp/docs/news/1213230.html

https://forest.watch.impress.co.jp/docs/news/1206272.html

「Google Chrome 77」が正式公開～アドレスバーのEV証明書発行元表示は廃止／深刻度“Critical”1件を含む52件の脆弱性も修正へ

https://forest.watch.impress.co.jp/docs/news/1213230.html

「Firefox」もアドレスバーのEV証明書発行元表示を廃止～鍵・盾アイコンの仕様も変更／HTTPS接続は当たり前、HTTP/FTPサイトは危険。「Firefox 70」からアイコンで明示

17:07:57 Kuropen @kuropen@mi.kuropen.org

まあ、Let's Encryptなどのシステム発行の証明書をdisることによって従来型の認証局の利益に繋げようというステマの可能性はあるかもしれない

17:09:07 Kuropen @kuropen@mi.kuropen.org

2023-10-09 17:08:53 Posting sublimer@あすてろいどん鯖管 sublimer@mstdn.sublimer.me

This account is not set to public on notestock.

17:09:14 Kuropen @kuropen@mi.kuropen.org

その線もありそう

17:10:18 Kuropen @kuropen@mi.kuropen.org

Let's Encrypt以外にもAWSのACMとかもあるしなあ…

17:13:39 Kuropen @kuropen@mi.kuropen.org

2023-10-09 17:13:26 Posting kphrx kPherox@pl.kpherox.dev

> 2つ目は、米国のセキュリティ研究者 Ian Carroll氏が、米国では州が異なれば同じ会社名の法人が設立できることを使い、デラウェア州にある決済のStripe社と同じ社名のStripe社をケンタッキー州で設立しました。この会社を使って正式なEV証明書を取得し、同じStripe社を表示する正当なEV証明書によるフィッシングサイトが立ち上げられられることを公表しました。２つを比べるとURLは異なりますが、EV表示だけを見ていると全く同じです。

ここやばくて笑ってる

17:14:43 Kuropen @kuropen@mi.kuropen.org

2023-10-09 17:12:17 Posting ☨もりゃき☨ moriyaki@fedibird.com

This account is not set to public on notestock.

17:16:07 Kuropen @kuropen@mi.kuropen.org

2023-10-09 17:15:42 Posting kphrx kPherox@pl.kpherox.dev

証明書がどこかで詐欺かどうか判断することを推奨することが悪なのでドメインが本物か確認しろ

17:16:47 Kuropen @kuropen@mi.kuropen.org

「サイト管理者に特別な意図がなければ自動的にLet's Encryptの証明書を発行するようなインフラ」とかを大手のサイトが利用していないとは限らない。

17:17:23 Kuropen @kuropen@mi.kuropen.org

2023-10-09 17:17:03 Posting sublimer@あすてろいどん鯖管 sublimer@mstdn.sublimer.me

This account is not set to public on notestock.

17:17:28 Kuropen @kuropen@mi.kuropen.org

2023-10-09 17:16:48 Posting Satoshi Kojima (小嶋智) skoji@sandbox.skoji.jp

This account is not set to public on notestock.

17:29:17 Kuropen @kuropen@mi.kuropen.org

証明書がサイトそのものの信用だとするのは、かつてSSL/TLSが「個人情報を暗号化するもの」と認知され、個人情報などを入力するページのみに適用されていた時代の認識なんだよな。
その後サイト全体の改竄防止や、リファラなどのプライバシーに関するヘッダの盗聴防止の意味合いが出てきて、Googleがhttpsサイトの優遇を始めて、個人情報入力の有無にかかわらずhttpsであることが当たり前になった。
https://jprs.jp/pubcert/about/aossl/

https://jprs.jp/pubcert/about/aossl/

常時SSL化について | JPRS

19:13:46 Kuropen @kuropen@mi.kuropen.org

2023-10-09 19:06:58 Posting なちか@ﾌｫﾛｾ中ごめんなさい nacika@oransns.com

This account is not set to public on notestock.

19:15:12 Kuropen @kuropen@mi.kuropen.org

濃硫酸か…
※本件により新青森始発上り「はやぶさ52号」が仙台駅で運転打ち切り、東日本管内新幹線全路線にダイヤ乱れ発生中
https://news.yahoo.co.jp/articles/0694502c318e3c392ade3d50efd54a2c2069ffd7

https://news.yahoo.co.jp/articles/0694502c318e3c392ade3d50efd54a2c2069ffd7

仙台駅着の東北新幹線で薬品漏れか６人けがバッグ持ち込んだ男性から状況を聞く（khb東日本放送） - Yahoo!ニュース

Sun	Mon	Tue	Wed	Thu	Fri	Sat
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31

Sun	Mon	Tue	Wed	Thu	Fri	Sat
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31

Sun	Mon	Tue	Wed	Thu	Fri	Sat
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31