こんな記事が掲載されていた。
えーと、X-TECHになってからどうもIT屋としての記事なのこれ、みたいなのが多い気がするのはさておき、「HTTPSの神話」なるものが、どこで語られていたのか、僕はよーわからん。いや、ここで語られていた、というのが著者の告白としてバッチリ書かれているわけですがw
ただ、この神話なるものが全くなかったか、と言ってしまうとちょっと気の毒でもある。デフォルトで信頼できるルート認証局として存在していたところが少なかった時代においては、確かに「オレオレ証明書ではないサーバー証明書」を提示できるサーバーってのはそうはなかったのは確か。かつてのVerisignの証明書は高いし、それなりの審査がされたりもしたよね。そしてそれを台無しにするようなオレオレ中間CAのインポートを求める某国政府サイトみたいな話も…
そうは言っても、その後のEV SSLとかで「信頼できる組織であることを特別視する」ような仕組みが作られたのはなぜかということをひっくり返せば、通常のサーバー証明書がそのサイトがEvilでないことを証明するものではないことはわかるよね。
さて、HTTPSはサイトの正当性を証明するものではなく、その特性上どこの誰だからわからないネットワークをリレーされていく可能性があるインターネットにおいて、end to end(と見なされる部分)における通信の秘匿性を担保するための仕組みであるだけであり、つまり、途中の経路における盗聴に強い仕組みであるだけに過ぎない。フィッシング詐欺なんて経路じゃなくてエンドで情報を搾取する仕組みなんだから経路の秘匿性なんてなんの関係もないわけで、ただ、かつては確かに釣りサイトはHTTPSでないことは多かったけど、大事なのはそこじゃなくてURLが正しいかどうかを確認するべきというのは当初から変わらないはずなんだけどね。一時期、ブラウザのアドレスバーを隠すのが流行ったときに怒り心頭だった人は多いと思う。
今、HTTPS化でネットを検索するとIT関連の仕事をしてるサイトでバッチリ「フィッシング詐欺に強くて安心」みたいなことが書かれているんだけどさ、こういう話が出てきちゃうのもかつて誤った認識で神話を語ってきた人に責任の一端はあるんではないかなとか思ったりはする。
