掲示板

SSL(暗号化)に関する意識調査

つきこう
マスター
掲示板のURLをコピー

スクリーンショット_2018-06-20_21.46.03.png

WebサイトのSSL/TLS(暗号化通信)についての意識調査をされていただきます。

以下のアンケートの項目に当てはまる物をいくつでもお選びください。
難しく考えずに気楽に参加してください。

ーーーーーーーーーーー
後付けで申し訳ありません。
「SSL証明書の違いは分からない」という項目は「htttps:// が安全である」と感じている事が前提の項目とさせていただきます。

SSL(暗号化)に関する意識調査
70件の回答
http:// で始まるURLのサイトで個人情報を入力するのは危険だ
24% 17件
https:// で始まるURLのサイトは安全だ
19% 13件
ブラウザの上のバーにカギマークがあれば安全だ
16% 11件
SSL証明書の違いは分からない
10% 7件
これらに当てはまる物がない
9% 6件
http:// で始まるURLのサイトは危険だ
6% 4件
無料のSSL証明書は不安に感じる
6% 4件
有名な認証機関が発行したSSL証明書は信頼できる
6% 4件
ブラウザの上のバーに企業名が表示されていれば信頼できる
4% 3件
SSL証明書は認証機関を問わずどれも同じである
1% 1件

チップについて
0
ナイス!
2

お気に入り
0
11 件のコメント
1 - 11 / 11
トッチン@寝不足
Gマスター
コメントのURLをコピー
SSLってのは通信の暗号化技術だから、サーバ側のセキュリティが弱かったら(例えば昔よくあったけど、住所データが平文で外部から簡単に抜けちゃうとか)、あまり意味ないんですよね?
チップについて
0
ナイス!
5
返信
トッチン@寝不足
Gマスター
コメントのURLをコピー
*SSLそのものについてのアンケートだろうから、そういう質問は野暮だとは思うけど、私はそれほど技術に詳しいわけではないので、ちょっと気になりました。
チップについて
0
ナイス!
5
返信
おとぶ@🌟🍐🌷
Gマスター
コメントのURLをコピー
この質問、技術の話ではなくその前の心構えの話にしか見えないですね。
通信が暗号化されていても、相手が悪い人かもしれないので引っかからないように、という啓蒙活動でしょう。
チップについて
0
ナイス!
5
返信
つきこう
つきこうさん・投稿者
マスター
コメントのURLをコピー
≫トッチンさん
今はブラウザも進化しているので、
表面だけSSLで、よくよく見ると一部だけ暗号化しないでデータを送信するような、おかしなサイトは
ブロックされるか、警告が表示されるようになってます。

サーバー自体に外部から簡単にアクセス出来るようなら、それは重要な脆弱性を抱えていることになりますね。
普通は個人情報を扱うサーバーは、隔離して直接インターネット上に触れないようにするのが一般的なので。
チップについて
1
ナイス!
5
返信
つきこう
つきこうさん・投稿者
マスター
コメントのURLをコピー
SSLは、相手がドメイン(又はIPアドレス)の所有者又は管理者であり、通信内容が盗聴・改ざんされていない事を保証する物なので、サーバーがおかしい場合はSSLは確かに無意味ですね。

また、SSLは誰でも使える暗号化のための(施錠専用の)公開鍵と、(解錠専用の)秘密鍵をセットで使う方式なので、秘密鍵が漏れると誰でもなりすまし出来ますね。
これを早期発見して無効にするのが認証機関の役目でもあります。
チップについて
0
ナイス!
4
返信
トッチン@寝不足
Gマスター
コメントのURLをコピー
つきこうさん
ご返答ありがとうございます。
にわか知識なので、おかげさまで理解が進みました〜。
チップについて
0
ナイス!
5
返信
マツマコ
ベテラン
コメントのURLをコピー
SSLは極端に言うなら、通信の内容を暗号化している以上のことは保証してないところはありますね(あくまで、極端です)。
特に、ドメイン認証(DV)なんかはそのドメインを登録している登録者の確認だけですから、怪しいサイトなんかでも普通に使われています。
もっと言うなら、EVでもその企業がちゃんと存在していてその企業によって運営されているのを保証されるだけであって、その企業がどんな企業かを保証するものじゃないですし。
その企業が悪いことを目的に作られた企業なら、EVだからと安心できるものじゃないです。
まあ、あくまで極端な例ではありますが。
確実に言えるのは、個人情報の入力フォームがSSLになってないのは間違いなく危険ですね。
それは、通信内容を覗き見すれば、誰でも理解出来るので。
あとは、DVだからて信頼がないわけじゃないです。
結局、暗号化の強度は無料のDVでも、高額のEVでも変わらないですし。
そもそも、個人レベルではDVより上のOV、EVは取得不可能ですからね。
DVは確かに悪意を持ったサイトにも使われていますが、世にある大半のサイトは健全な目的で使われているはずです。
結局のところ、SSLだからと安心せずに、サイトの内容をチェックしましょうというのに尽きますね。
チップについて
1
ナイス!
8
返信
pmaker
pmakerさん
Gマスター
コメントのURLをコピー
「無料のSSL証明書は不安に感じる 」だけチェックです
まあ、無料かどうかより信用できるところかどうかですね
今のところOSメーカーが認めたとこしか使ってないけど、中国のCAがごり押しされたら対策します
チップについて
0
ナイス!
1
返信
ばななめろん
SGマスタ
コメントのURLをコピー
最終的には「自分で調べて真贋をきちんと見抜けるか否か?」だと思っているので、常時 SSLだからとか EV SSLだからなんてのは単なる「飾り」程度に考えています。

※VPNも同じ様な考え方です。結局の所ラッピングしてる内部を見せない
 ようにしてもやろうと思えば突破できる可能性は残されているので。

なのである意味「気にしたら負けだけど、ただきちんと技術的にもその他でもどういうバックグラウンドで.....を意識するのが適切」で良いと思います。

※それこそハニーポットやられたら意味ないですし、Kali Linuxで情報
 抜くとか、技術的には不可能とも言えませんからね。
 道具はあくまでも「使う側のモラルに委ねられている」ので。
チップについて
0
ナイス!
1
返信
エスペラード
ルーキー
コメントのURLをコピー
オレオレ証明書について選択肢が欲しかった
チップについて
0
ナイス!
1
返信
ばななめろん
SGマスタ
コメントのURLをコピー
エスペラードさん>
> オレオレ証明書について選択肢が欲しかった

ちょっと趣旨から外れますが、Windows Serverなどでは構成方法によって「オレオレ証明書でもきちんとサービスを通せる場合が出てくる」ので、要は「構成の仕方に依存してくる」ところもあると言えます。

また Let's Encryptのように無料のサーバー証明書発行サイトもある(EV SSLは対象外ですけど)ので、正直なところ「突き詰めていくとお金払って追証してもらうか否か?」位の価値観しかない、と割り切るのも商業的な証明書の取捨選択方法になってきますね。

この手のお話って実際に商用システムの設計を考慮すると「如何に既存システムなり証明書の投資と齟齬が発生しないようにするのか?」を考慮する必要が出るので、実務上は頭の痛いお話でもありますね。
→私自身、それで苦労した経験は数回では足りないです。
チップについて
0
ナイス!
0
返信
コメントするには、ログインまたはメンバー登録(無料)が必要です。