「本物の」サーバ証明書を持つフィッシングサイト | スラドVorspiel曰く、"日経記事や/.本家で話題になっていますが、いわゆるオレオレ証明書ではなく、ブラウザに組み込まれているroot証明書発行者が認証した「正規の」サーバ証明書を持ったフィッシングサイトが登場しています。 SANS ISC Handler's DiaryやWashington Post SecurityFix blogでの解説によると、今回問題のサーバ証明書を発行したのは Equifax社。サーバ証明書の認証の際に発行対象の身元を正しく確認していなかったというあたり、証明書発行者としての資質を疑わざるを得ません。 なお、前述の日経記事によれば「電子メールのやり取りだけで、サーバー証明書を取得できるサービスが最近登場しており、これを使えば身元をほとんど明らかにする必要がない」とのこと。 「SSL通信ではURLを確認し、かつサーバ証明書の内容を確認する。オレオレ証明書は信用しな
