アカウント名:
パスワード:
「同一のHTTPS証明書」って、これはサーバー側の話だよね?
同じ証明書って、箱から出してそのまま(証明書の発行とか申請しなくても)即使える、証明書取得済みのサーバーって売ってるの?てかそんなこと可能なの?サーバー名違うだろうに。
それとも、ここで言っている「同じ証明書」とは、中に含まれる公開鍵が同じ値って意味なのかな?
秘密鍵が固定、あるいはデフォルトの秘密鍵が用意された状態のサーバーが売られていて、管理者が独自の鍵ペアを作らずに、デフォルトの鍵を認証局に送って証明書の発行を申請するから、みんな中身が同じ証明書が発行されるってこと?
同じ証明書って、箱から出してそのまま(証明書の発行とか申請しなくても)即使える、証明書取得済みのサーバーって売ってるの?
今回問題になっているのは、いわゆる普通のウェブサーバとかじゃなくて、スイッチングハブとかファイアウォールとかロードバランサとかのネットワーク機器です。
そんなネットワーク機器が売っているかどうか、という話なら、普通に売っています。
いわゆる普通のウェブサーバだと、インストール直後は証明書が存在していないか、お試し用のオレオレ証明書をランダムに生成することが多いんじゃないかと思います。
てかそんなこと可能なの?サーバー名違うだろうに。
可能か不可能か、って話で言えば可能です。しかし、あなたの指摘の通り、正しい証明書ではありません。なので、ブラウザでアクセスすると、警告が表示されます。
こういったネットワーク機器のHTTPS接続機能というのは、主に設定変更画面などに使われます。そういう通信は大抵、インターネットの様な信用できない経路を通さない、というポリシで運用されています。その限りにおいては、今回の脆弱性は、何の問題にもなりません。そもそも、HTTPSで通信する必要性すらないかも知れません。
逆にもし、信用できない通信経路を通すのであれば、今回の脆弱性は問題になります。が、その場合は、適切な証明書・秘密鍵に置き換えれば済む話です。
> そもそも、HTTPSで通信する必要性すらないかも知れません。
ほんとこれ。ブラウザが安全でない暗号や証明書を無効にするたびに、なんたらのルーターにアクセスできなくなった証明書はファームウェアに埋め込みだから簡単にアップデートできないとか苦情が来るのマジかんべんしてほしい。なんで意味もなくHTTPS使うんだほんと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
今一つ理解が正しいか不安なんで、確認させてほしい。 (スコア:0)
「同一のHTTPS証明書」って、これはサーバー側の話だよね?
同じ証明書って、箱から出してそのまま(証明書の発行とか申請しなくても)即使える、
証明書取得済みのサーバーって売ってるの?てかそんなこと可能なの?サーバー名違うだろうに。
それとも、ここで言っている「同じ証明書」とは、中に含まれる公開鍵が同じ値って意味なのかな?
秘密鍵が固定、あるいはデフォルトの秘密鍵が用意された状態のサーバーが売られていて、
管理者が独自の鍵ペアを作らずに、デフォルトの鍵を認証局に送って証明書の発行を申請するから、
みんな中身が同じ証明書が発行されるってこと?
Re:今一つ理解が正しいか不安なんで、確認させてほしい。 (スコア:2)
同じ証明書って、箱から出してそのまま(証明書の発行とか申請しなくても)即使える、証明書取得済みのサーバーって売ってるの?
今回問題になっているのは、いわゆる普通のウェブサーバとかじゃなくて、スイッチングハブとかファイアウォールとかロードバランサとかのネットワーク機器です。
そんなネットワーク機器が売っているかどうか、という話なら、普通に売っています。
いわゆる普通のウェブサーバだと、インストール直後は証明書が存在していないか、お試し用のオレオレ証明書をランダムに生成することが多いんじゃないかと思います。
てかそんなこと可能なの?サーバー名違うだろうに。
可能か不可能か、って話で言えば可能です。
しかし、あなたの指摘の通り、正しい証明書ではありません。
なので、ブラウザでアクセスすると、警告が表示されます。
こういったネットワーク機器のHTTPS接続機能というのは、主に設定変更画面などに使われます。
そういう通信は大抵、インターネットの様な信用できない経路を通さない、というポリシで運用されています。
その限りにおいては、今回の脆弱性は、何の問題にもなりません。
そもそも、HTTPSで通信する必要性すらないかも知れません。
逆にもし、信用できない通信経路を通すのであれば、今回の脆弱性は問題になります。
が、その場合は、適切な証明書・秘密鍵に置き換えれば済む話です。
Re: (スコア:0)
> そもそも、HTTPSで通信する必要性すらないかも知れません。
ほんとこれ。ブラウザが安全でない暗号や証明書を無効にするたびに、なんたらのルーターにアクセスできなくなった証明書はファームウェアに埋め込みだから簡単にアップデートできないとか苦情が来るのマジかんべんしてほしい。なんで意味もなくHTTPS使うんだほんと。