ほとんどの人がHTTPSとSSL (Secure Sockets Layer) を結びつけて考えます。SSLは1990年代半ばにNetscape社が開発した仕組みですが、今ではこの事実はあまり正確でないかもしれません。Netscape社が市場のシェアを失うにしたがって、SSLのメンテナンスはインターネット技術タスクフォース(IETF)へ移管されました。Netscape社から移管されて以降の初めてバージョンはTransport Layer Security (TLS)1.0と名付けられ、1999年1月にリリースされました。TLSが使われだして10年も経っているので、純粋な"SSL"のトラフィックを見ることはほとんどありません。 Client Hello TLSはすべてのトラフィックを異なるタイプの"レコード"で包みます。ブラウザが出す先頭のバイト値は16進数表記で0x16 = 22。 これは
■ EV SSLを緑色だというだけで信用してはいけない実例 EV SSLに関して以前から懸念されていたことが既に現実になっていた。一時期、EV証明書を発行する一部のCA事業者が、EV SSLの宣伝で「緑色になったら安全」などといいかげんな広告を打っていて、誤った理解が広まりかねないと心配されていたわけだが、「緑色になったら安全」という理解がなぜ駄目なのか、その理由の一つは、いわゆる「共用SSL」サービスにEV SSLが使われかねないという懸念だった。 そして、その実例が既に存在していたことに気付いた。図1は私が作ったWebページである。 アドレスバーは緑色になっているが、ここに入力されたデータは私宛にメールで送信*1されてくる。(このページは既に閉鎖している。) 悪意ある者がこうしたページを作成*2し、何らかの方法でこのページに人々を誘導*3すれば、フィッシングの被害が出るおそれがある。
■ Firefox 3.5でSSLの確認方法が「緑なら会社名」「青ならドメイン名」と単純化される 今年中には正式版がリリースされると目されているFirefox 3.5だが、現時点でリリースされている3.5b4のベータバージョンで確認したところ、browser.identity.ssl_domain_display の初期設定値が「1」となるようだ。つまり、たとえば、楽天のログイン画面に移行すると、アドレスバー*1が図1のようになる。 これにより、パスワードやクレジットカード番号などを入力する前に、今訪れているサイトが本物であるかどうかを、アドレスバーに表示されるドメイン名で確認できるようになる。 この機能はFirefox 3.0でも実装されていたが、初期設定ではオフにされていた。従来は図2のように、青くなるだけでドメイン名は表示されず、クリックしてドメイン名を確認する必要があった(URL中
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く