アカウント名:
パスワード:
おなじみ「セキュリティホールmemo [ryukoku.ac.jp]」にTURKTRUST公式見解のページ [turktrust.com.tr]へのリンクがあった。技術詳細 [turktrust.com.tr]によると、こうらしい。
- - - - -
去年6月に試験環境から実運用環境へ移行し、移行後試験環境では試験用の証明書プロファイルを2つ追加し、6月末に試験は終了した一方、実運用環境では、上と別な証明書プロファイルを3つ追加したらしい。
8月にシステムを統合後、8月10日の証明書発行で、証明書プロファイルがないという例外が発生。そのときの修復作業中にあやまって発行。ニセ証明書のうち1枚は客の使用前に失効。
もう1枚は客(EGOという)に渡って、MITMファイアウオールにインストールされ、12月6日に起動したファイアウォールが、12月12日にMITMサービスを開始し、同日ニセ証明書が発行された。この証明書は有効期間の開始が12月6日だったらしい。
興味深いことに、12月6日にGoogleはhttps://encrypted.google.com/で検査できる証明書を更新したというのだが、この証明書の発行者、通し番号、CRLDP,SubjectKeyIdentifier, AuthorityKeyIdentifier以外が同じ証明書になっていた模様。
英語の解釈間違いなどあるかもしれないので、詳細は原文をあたってほしい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
TURKTRUST公式見解 (スコア:1)
おなじみ「セキュリティホールmemo [ryukoku.ac.jp]」にTURKTRUST公式見解のページ [turktrust.com.tr]へのリンクがあった。技術詳細 [turktrust.com.tr]によると、こうらしい。
- - - - -
去年6月に試験環境から実運用環境へ移行し、移行後試験環境では試験用の証明書プロファイルを2つ追加し、6月末に試験は終了した一方、実運用環境では、上と別な証明書プロファイルを3つ追加したらしい。
8月にシステムを統合後、8月10日の証明書発行で、証明書プロファイルがないという例外が発生。そのときの修復作業中にあやまって発行。ニセ証明書のうち1枚は客の使用前に失効。
もう1枚は客(EGOという)に渡って、MITMファイアウオールにインストールされ、12月6日に起動したファイアウォールが、12月12日にMITMサービスを開始し、同日ニセ証明書が発行された。この証明書は有効期間の開始が12月6日だったらしい。
興味深いことに、12月6日にGoogleはhttps://encrypted.google.com/で検査できる証明書を更新したというのだが、この証明書の発行者、通し番号、CRLDP,SubjectKeyIdentifier, AuthorityKeyIdentifier以外が同じ証明書になっていた模様。
- - - - -
英語の解釈間違いなどあるかもしれないので、詳細は原文をあたってほしい。