こんな銀行は嫌だ（高木浩光＠自宅の日記）より：

「こんな銀行は嫌だ――オレオレ証明書で問題ありませんと言う銀行」……そんな冗談のような話がとうとう現実になってしまった。

ころが、実際にIE 7が普及してきた現在、これらに対してさえ、「問題ありません」だとか、「『推奨されません』をクリックしてください」と言う虫*2が沸いてきた。しかも、よりによって銀行がそれを言うのである。

フィッシング詐欺の脅威が迫っている中、「アドレスバーが赤くなって『エラー』と表示されていたら閲覧を中止しなければならない」という鉄則を利用者の常識としなければならないところに、「使ってもいい場合がある」などという嘘*3が吹聴されたら、対策が台無しであり、皆が迷惑する。

ベンダー側の考え方を想像してみるテスト。

おそらく、とても狭い考え方のベンダーなのだろう。

「ウェブの脅威は、内容を盗み見られることだ。盗み見られることは、SSL を使用して暗号化すれば大丈夫。
このサイトは、暗号化しているので、盗み見られる危険はない。
しかし、証明書の警告が出る。
証明書は違っているが、暗号化に使用するのはビット数の大きい、安全なもの。だから、安全なはずだ。」

こんな感じ？

対して、「フィッシングの脅威」と言われるのは、「他のサーバを騙ること」が脅威なのであり、暗号化云々の話ではない。

ここで、法人向け情報Webホクギンeビジネスでは、サイトＵＲＬ（https：//www.hokuetsu.cns-jp.com/）ではなく、ベースドメイン（https：//www.cns-jp.com/）でＳＳＬサーバ証明書を取得しております。の様な説明をしていることが、とても問題なのだが、その危険性に気がついているのか、いないのか。。。

証明書は、「存在の証明」であって、「悪意がないことの証明」ではない。これは、最近多い、食料品の偽装事件を思い出していただければいいかと。「赤福」という知名度、私が子供の頃は「ええじゃないか　ええじゃないか　ええじゃないか　伊～勢～の名物　赤福餅はええじゃないか」というコマーシャルで存在証明をしていながら、賞味期限を偽装するという悪意を持っていた。赤福、大好きだったのに。。。「於福で我慢するか」と思っていたら、於福までも!!!!

そんなわけで、「悪意がないことの証明」ではないため、「証明書が付いているから安全」という考え方をまず捨てるべき。証明書は、「存在証明」でしかない。「連絡がつけられることの証明」でしかない。「悪意を持っている奴が、自分の居場所を明らかにしているはずがない」という思いこみでしかない。そんな思い込みって、安全ですか？

で、次。ドメインの違いについて。

ベースドメイン（https：//www.cns-jp.com/）って、なに？ドメインは「cns-jp.com」だろ？「www」がついて、サイト URL じゃない！！

と、些細なことに突っ込みつつ、「このサイトは "～～" で証明書を取得しているので安全です」って表示、どうよ？じゃぁ、偽サイトが真似したら？「このサイトは www.fake.cns_jp.com ですが、ベース ドメイン www.cns-jp.com で証明書を取得していますので安全です」って、偽サイトが出たら、どうするよ？「違っているけど安全です」って宣伝してしまっている以上、「違っているから危険です」って言えなくなっちゃうよ？

ってことをね。開発者は．．．設計担当やコンサルタントをやってる人たちは、ご存じな上でやっていらっしゃるのでしょうか？

確かに、確立した通信は強い暗号化がされ、安全でしょう。しかし、ミスが起こるのは、いつもユーザ オペレーションだということを忘れてはいませんか？ユーザが警告画面を見たとき、「そういえば、どこかの銀行サイトでもこんな画面が出たけど、暗号化されているから安全だと書いてあったな。じゃぁ、ここも安全だろう」と判断したとき、ミスリードした情報に非はないのでしょうか。（法的には非を認められないだろうから、警鐘が鳴らされるわけだけど）