技術系メディアの日経クロステック (xTECH) が 4 日に公開した「偽サイトもアドレス欄に鍵マーク、証明書を確認してフィッシング詐欺を見抜こう」という記事が問題になっているので共有したい (はてなブックマーク)。

問題になっているのは、現代では SSL の有無だけで本物かどうか判断できないため証明書の種類を見るべきだとする以下のような記述。

このうち詐欺で悪用されるのがDV証明書。「Let's Encrypt」という認証局では無料で発行しており、フィッシング対策協議会によれば、一部の例外を除いて大半のフィッシングサイトでこの証明書が利用されているという。大手企業が利用するケースは考えにくい。ブラウザーの証明書ビューアーで、発行者が「Let's Encrypt」ならまず詐欺なので用心しよう。

これにセキュリティ専門家の徳丸氏が米大統領官邸ホワイトハウスのウェブサイト (www.whitehouse.gov) でも Let's Encrypt の証明書を使用していることや、詐欺サイトの大半が Let's Encrypt を使用しているからといって、Let's Encrypt を使用しているサイトの大半が詐欺サイトとはいえないことを指摘したのを始め、それでは判断できないという声が多々上がっている。

すべて読む | セキュリティセクション | セキュリティ | 暗号 |

関連ストーリー：
Let's Encrypt、DST Root CA X3の2021年9月30日期限切れを告知 2021年05月20日
無料SSL「Let's Encrypt」のDSTルート証明書の有効期限、3年間延長へ 2020年12月23日
Let's Encrypt、ルート証明書切り替えに向けて古いAndroidへの対策を呼びかけ 2020年11月08日
Let's Encrypt証明書を使用しているWebサイト、Android 7.1以前の端末での閲覧に影響か 2020年08月12日
Let's Encrypt、証明書およそ300万件の強制失効処理を取りやめ 2020年03月08日
EFF曰く、あなたが思うよりずっと公衆Wi-Fiは安全 2020年02月06日
無料SSL「Let’s Encrypt」のルート証明書がすべての端末で直接信頼されるには5年必要 2018年08月10日
上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる 2018年06月07日
はてな、Let's Encryptへの継続的な寄付を開始 2018年06月05日
Let's Encrypt、ワイルドカード証明書の発行を開始 2018年03月16日
Let's Encrypt、2018年1月よりワイルドカード証明書にも対応へ 2017年07月13日
Let’s Encryptのアクティブな証明書が2000万を超える 2017年01月12日
Let's Encrypt、ほかのユーザーのメールアドレスを記載したメールをユーザーに送信 2016年06月17日
無料でSSL/TLS証明書を発行するLet's Encryptが正式サービスを開始 2016年04月18日
Let's Encryptの証明書、不正広告攻撃に悪用される 2016年01月11日