ただ、Windows の証明書ストア(やそれを利用している IE や Chrome)では、Common Name を限定したルート証明書というのを保存することができません。そのため、Dell が自社のルート証明書をインストールした場合、Dell の秘密鍵を知っている人が、銀行やGmailといった他社の通信を傍受・改竄できてしまうという大きな問題があります。
Microsoft は証明書ストアの使用を変更して、Common Name を限定したルート証明書(そのルート証明書からチェーンしたすべての証明書が、特定のドメインのみに有効とする)を保存できるようにすべきだと思います。それならば、「dell.com」「dell.co.jp」などのドメインのみに限定したルート証明書をプレインストールできるようになり、Dell の内部犯が他社との通信を傍受・改善することができなくなります。
ちなみに、厳密には Common Name を限定したルート証明書とは異なりますが、Firefox は OSに依存しない独自の証明書ストアを持っており、特定のドメイン名のみに対して有効な証明書を証明書ストアにインストールすることが可能です。自分専用のオレオレ証明書が安全に利用できる(フィンガープリントを確認して保存できる)というのも Firefox の魅力の一つだと思います。
Microsoft が Common Name を限定したルート証明書に対応すべき (スコア:3)
当然ながら、SSL/TLS の ルート認証局(以下ルートCA)であれば、自身の証明書の秘密鍵を所持しており、内部の秘密鍵にアクセスできる人物が不正行為を行うことが可能です。
勿論、ルートCAは秘密鍵の漏えいを防ぐために多額の資金を費やしており、秘密鍵にアクセスできる人物を最小限にしていますが、大手ルートCAであっても、過去に秘密鍵を漏らしてしまったり不正な証明書を発行してしまったりしたところも存在します。
他社(ルートCA)が秘密鍵を漏らしてしまったことが原因で、アップデータが改ざんされてマルウェアがインストールされてしまったら困るという理由で、既存のルートCAを信頼せずに自社で自社専用の認証局を開設して独自のルート証明書をインストールするというのは、思想としては悪くはないと思います。プレインストールというインターネットを経由しない安全な経路でインストールできているのですから、所謂「オレオレ証明書」とは違います。
ただ、Windows の証明書ストア(やそれを利用している IE や Chrome)では、Common Name を限定したルート証明書というのを保存することができません。そのため、Dell が自社のルート証明書をインストールした場合、Dell の秘密鍵を知っている人が、銀行やGmailといった他社の通信を傍受・改竄できてしまうという大きな問題があります。
Microsoft は証明書ストアの使用を変更して、Common Name を限定したルート証明書(そのルート証明書からチェーンしたすべての証明書が、特定のドメインのみに有効とする)を保存できるようにすべきだと思います。それならば、「dell.com」「dell.co.jp」などのドメインのみに限定したルート証明書をプレインストールできるようになり、Dell の内部犯が他社との通信を傍受・改善することができなくなります。
ちなみに、厳密には Common Name を限定したルート証明書とは異なりますが、Firefox は OSに依存しない独自の証明書ストアを持っており、特定のドメイン名のみに対して有効な証明書を証明書ストアにインストールすることが可能です。自分専用のオレオレ証明書が安全に利用できる(フィンガープリントを確認して保存できる)というのも Firefox の魅力の一つだと思います。
Re:Microsoft が Common Name を限定したルート証明書に対応すべき (スコア:2, 参考になる)
いやいや、今回の問題は、その秘密鍵 (秘密鍵です。公開鍵ではありません。) がPCに搭載されていたことにあります。秘密鍵が漏れちゃってます。ヤバいです。
Re: (スコア:0)
今回のはどうしょうもないけど、それはおいといて。もうちょっとマイルドなトラブルの際の被害をもうちょっと減らせるよう、IEをこう改善したら良いのに、という便乗雑談だと思う。
Re: (スコア:0)
今回、Dell.Foundation.Agent.Plugins.eDell.dllに、.pfxが2個、平文で格納されています
ファイルバージョン1.0.0.5 x86で確認、(DLLに)Dellの署名がしてあります。ちなSHA1.
一応(.pfxが)難読化されたパスワードで保護されているようですが、すでに漏れており、破るよりぐぐる方がはやい状況です
Re: (スコア:2)
Dellが 秘密鍵もセットでパソコンに保存して出荷したことは擁護のしようがない馬鹿げた行為なので、既に他の人が叩いているだろうと思ってスルーした上で、比較的安全に独自のルート証明書をインストールできるよう Windows の証明書ストアの改善を求める書き込みをしたつもりでした。
しかし、自分で書いたコメントを見返してみると、ご指摘いただいたとおり Dell が独自のルート証明書(公開鍵を含む)のみをプレインストールしていたと誤解しているかのような文章になっていました。お恥ずかしい限りです。
貴重な検証データをありがとうございます。
バックドアとして使うとしても「秘密鍵」を一般公開する必要は全くないので、悪意がある人物がやったのではなく、単なるミスだと思いますが、かなりひどい状況ですね。
どうしてこのような事態が発生したのか、想像もできません。ひょっとして、テスト用のデータが入ったまま出荷されてしまったとか?