Let's Encrypt証明書がブラウザーでデフォルトで受け入れられるのはなぜですか？

SSL証明書が実際に認証するものと、SSL証明書が何を保護するように設計されているのかを誤解しているようです。

標準の証明書は、証明書の所有者が実際に問題のドメインを制御していることを証明するだけです。したがって、g00dbank.comの証明書は、所有者がg00dbank.comドメインを制御していることのみを証明します。それは、所有者が銀行であること、 彼女が良いこと であること、またはサイトが実際によく知られているGood Bank Incorporatedであることを保証しません。

そのため、SSLはフィッシングから保護するようには設計されていません。左隅に緑のロックが表示されているからといって、すべてが正常であるとは限りません。また、あなたが正しいウェブサイトにいることを確認する必要があります-フィッシングのあるgoodbank.comではなくg00dbank.comにアクセスしていて、goodbank.comが実際にGood Bank Incorporatedのウェブサイトであることを確認する必要があります。

これを平均的なユーザーにとって簡単にするために、Extended Validation（EV）証明書と呼ばれるものがあります。これらはまた、いくつかの事務処理を行うことを要求することにより、あなたが本人であると主張する法人であることを確認します。ほとんどの主要なブラウザーは、それらを アドレスバーに所有者の名前を表示 で強調表示します。

したがって、EV証明書を取得するには、g00dbank.comのフィッシャーが実際のビジネスを開始する必要があり（それによって紙の証跡が残されます）、その場合でも、名前が機密ターゲットに近いため、ビジネスを取得できません。

EncryptがEV証明書を発行しないようにします。普通のものを出します。しかし、遭遇したフィッシング詐欺師は、どこからでも証明書を受け取っている可能性があります。実際、コメントで IMSoP が指摘しているように、Lets Encryptが使用する方法は、確立されたCAの多くでも採用されています。唯一の違いは、Lets Encryptの方が効率的で安価であることです。したがって、これはLets Encryptとは特に関係がなく、ブロックしても何も解決されません。

ブラウザがLet's Encryptイニシアチブの証明書を信頼するのはなぜですか？

この部分を明確にするために：ブラウザー/コンピューターはこれらの証明書を信頼します。これは、ルートCA "DST Root CA X3"を承認し、信頼できる証明書のリスト。 CA「DSTルートCA X3」は、Let's Encryptを再び信頼し、証明書に署名しました。

証明書は無料/安価/簡単に取得できますか？

番号。

署名された証明書を持つか、httpsを提供することはnotがWebサイトが悪意のあるものかどうかを意味します。ドメインに対して有効で署名された証明書を持つサーバーに接続したことを証明するだけです。

証明書は、証明書自体の内容を保証するものではありません。 Let's暗号化の場合、接続されているサーバーが、接続に使用したドメイン名を所有しているのと同じエンティティに属していることが保証されます。

「拡張検証証明書」と呼ばれる別のクラスの証明書があり、発行CAはさらにいくつかのチェックを行います。基本的に、ドメインが既存の営利団体によって所有されていることを確認します。ブラウザーは通常、そのような証明書を緑色のインジケーターで詳細を表示します（たとえば、Chormeは、「接続は安全で会社が知られている」を証明書の説明に追加します）。

基本的に、有効なSSL証明書の存在は、ターゲットドメインが安全であることを示しません。 EV証明書でもあまりわかりません（ただし、少し優れています）。