私の銀行のウェブサイトでは、アドレスバーに常に「緑色のロック」が表示されていましたが、これはもうありません。次に、同じWebサイトで見つけた電話番号で銀行に電話し、オペレーターに証明書のシリアル番号を読んでもらいました。彼女はこれをすることを拒否し、私が彼女にシリアル番号を読むと主張し、彼女は彼女を確認するでしょう。
私はこれを否定し、彼女の電話番号は信用できないと説明しました。彼女にシリアル番号を読ませてもセキュリティはあまり得られません(結局のところ、if私がハッカーと話していると、彼女は私に読んでくれます無効な証明書のシリアル番号)、私は彼女にシリアル番号を読むことに抵抗がありました-それは単に「うん、それは正しい」と言うのを簡単にします。
彼女がシリアル番号の提供を拒否した理由はわかりません(彼女はこれが機密情報だと本当に思っているのでしょうか?そうしないことを望んでいます。おそらく、「多すぎる」情報を提供しないように彼女を訓練しました)。
しかし、これは私に考えさせました。銀行のウェブサイトの証明書が弱い、無効、期限切れなどと表示された場合はどうすればよいですか?
注:これは私が今日アクセスしている2番目の銀行のWebサイトであり、緑色のロックがないため、今日は特に注意が必要です。もう1つは赤十字さえ持っていました。私のブラウザ/コンピュータが危険にさらされているのか、それともChromiumがSHA-1署名の受け入れに消極的であるだけなのかはわかりません。私が他の銀行に電話したとき、彼は私と一緒にシリアル番号を確認することさえ望んでいませんでした、そしてその後私は彼に上司の証明書についてメモするように説得するのに10分かかりました、それは彼が確信していますしません。私たちが住んでいる世界。
緑のロックは、 Extended Validation Certificate が使用されていることを示します。これは、ドメインに対して証明書が発行される前に、組織がいくつかの拡張チェックを通過したことを意味します。
これがDVまたはOV証明書(ドメイン検証済みまたは組織検証済み)に突然変更された場合は、疑わしいと思うはずです。これは、取得が簡単で、ユーザーが区別するのが困難です。証明書が有効であることを確認することは良い動きですが、 シリアル番号ではなく拇印 を確認する必要があることに注意してください。
GRCで this one などのサービスを使用してオンラインSSL拇印を確認できます。
必須 attrition リンク。
標的型攻撃の対象となった場合、中間者はGRCページを変更して、なりすましの証明書の指紋を表示する可能性があることに注意してください。可能性は低いですが、技術的に簡単に可能であるため、この情報をここに含めることが重要です。メイン接続がMITMされていないことを確認するために、TORまたは別の接続(3/4Gなど)を介してGRCページをチェックできます(実際、サイト自体が同じ拇印を持っているかどうかを確認します)。
銀行の電話交換手は、シリアル番号が何であるか、そしてあなたにそれを与えることの結果が何であるかを知るのに十分な技術を持っていない可能性があります。
しかし、これは私に考えさせました。銀行のウェブサイトの証明書が弱い、無効、期限切れなどと表示された場合はどうすればよいですか?
一つには、機密情報のためにサイトをまったく使用しないでください。はい、信頼できる電話番号(銀行カードの裏面など)を使用して銀行に電話しますが、ウェブサイトのテクニカルサポートの誰かに話しかけて問題を説明するように依頼します。