<参考>企業HPのSSLの個人証明が第三者による場合
さて、昨日はUFJ銀行のフィッシング詐欺のような被害を防ぐためにSSLのサイトを利用すること、または発行者本人であることが信頼機関により証明されていないサイトは利用しないほうがよいと書いた。
実際にネットサーフィンをすると、個人情報の取り扱いを行うサイトにSSLを利用しているパターンを多く見かける。
たとえば、カー用品で有名なオートバックスが展開するCarsshow(https://www.ab-carsshow.com)というサイトでは問い合わせ入力を行うページが存在する。
このHPのSSL証明書を見ると証明書の組織項目には全く別の企業名が記述されている。(掲載画像参照)
本来であるならば、企業名であるオートバックスセブンが記述されていることがふさわしい。しかしながら全く第三者である企業が記されている場合は、該当HPの製作を受注した企業、もしくはSSLの個人認証を受け持ったと考えることができる。
ユーザが入力した個人情報はこのような外注先でも閲覧することがあり得る。しかしユーザの中には、オートバックスセブンの人間以外に自分の情報を見られてしまうと恐れることがあるだろうか?
個人情報の取り扱い(http://www.ab-carsshow.com/privacy.html)を見る限りは「これらの秘密項目は絶対に漏らさないように最善の注意をはらう」とはいうが、この第三者として発注先の企業の存在は伝えていない。
自分が所有するドメインに対して、全く知らない第三者が信頼機関の承認を通過した個人認証を発行することは不可能であることは昨日の日記で書いた。
このドメインは問題の発注先の企業が所有しているために、オートバックスセブン社自体がこのドメインに対しての信頼ある個人証明を発行できないためである。
参考:(http://whois.ansi.co.jp/?key=ab-carsshow&domain=com&domain=net&domain=info&domain=biz&domain=co.jp&domain=ne.jp&domain=jp#ab-carsshow.com)
自社のコンテンツを公開するならば、自社でドメインを取りましょう。