アカウント名:
パスワード:
どこが悪用なんでしょうか?よく分かりませんでした。「正規のドメイン」というのが他人のドメインということですか?
そうは言っても、まあ実際、何について「悪用」と言っているのかは大まかには妄想できるよね?軽度なアスペの俺でも、これくらいならちゃんと察せるぜ。
もちろん、もし世の中の人間全員が技術的に厳密な世界で生きているのであればそりゃ厳密には「どこが悪用なのか」とツッコミ入るけどなw
で、結局何が悪用なんですか?「正規のドメイン」というのが他人のドメインということ?他人のドメインのサブドメインの署名書を取得できる?
分かってるつもりってのが一番危ないんじゃ…
「正規のドメイン」というのが他人のドメインということ? 他人のドメインのサブドメインの署名書を取得できる?
Domain Shadowing [cisco.com] という攻撃方法は、「レジストラ」や「レジストラの代理店」のアカウント、例えば eNom とか お名前.com とか VALUE DOMAIN のアカウントを乗っ取り、正規のドメインに対してサブドメイン(自分のサイトのAレコードを登録)を作りまくって悪用する手口です。
レジストラのアカウントを乗っ取った以上は、サブドメイン以外を書き換えることも技術的には可能ですが、あえてサブドメインの追加のみに留めるているのはドメインの正規所有者に乗っ取られたことを気が付きにくくするためだと思います。サブドメインを勝手に追加しても、正規のサイトにはそのままアクセスできるので、乗っ取り行為の発覚を遅らせる効果があります。
ちなみに、Let's Encrypt ユーザーガイド(Webroot プラグイン) [letsencrypt.jp]によると、サブドメインに対する証明書を取得する場合、サブドメインのドキュメントルート以下に認証ファイルが設置できれば問題無いようです。
ということは、レンタルサーバに契約するとレンタルサーバ会社所有のドメインのサブドメインの使用権が与えられるようなケースの場合、レンタルサーバ契約者がレンタルサーバ会社所有のドメインのサブドメインで Let's Encrypt の証明書を取得できる仕様なようです。権限不足でレンタルサーバ上で Let's Encrypt クライアントが動作しない場合でも、Manual プラグインを使用すれば他のマシンでクライアントを実行できる(認証ファイルのみ手動で設置する)ので、同様に証明書が取得できてしまいます。
他の認証局のDV証明書だと、sub.example.com の証明書を取得する場合でも、
などへの認証用ファイルの設置を要求されるケースが多いので、一般的な認証局のDV証明書とは異なる仕様なようです。
Let's Encrypt は「ドメイン所有者」ではなく「ドメインやサブドメインの実質的な使用者」を認証するという考えなのでしょうね。
DNS CAAで拒否できるのでは?と書こうと思いましたが、そもそも乗っ取られた状況だとAだけでなくCAAも書き換えできるから、あまり意味がないですかね。
#なお、Let's EncryptはCAAを見るようだ。Certs for subdomains without the domain owner's permission - Issuance Policy - Let's Encrypt Community Support [letsencrypt.org]には、“Let's Encrypt supports the CAA standard”という回答がある。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
悪用? (スコア:0)
どこが悪用なんでしょうか?
よく分かりませんでした。
「正規のドメイン」というのが他人のドメインということですか?
Re: (スコア:0)
そうは言っても、まあ実際、何について「悪用」と言っているのかは大まかには妄想できるよね?
軽度なアスペの俺でも、これくらいならちゃんと察せるぜ。
もちろん、もし世の中の人間全員が技術的に厳密な世界で生きているのであれば
そりゃ厳密には「どこが悪用なのか」とツッコミ入るけどなw
Re: (スコア:0)
で、結局何が悪用なんですか?
「正規のドメイン」というのが他人のドメインということ?
他人のドメインのサブドメインの署名書を取得できる?
分かってるつもりってのが一番危ないんじゃ…
「レジストラ」や「レジストラの代理店」のアカウントを乗っ取られた後の話 (スコア:3)
Domain Shadowing [cisco.com] という攻撃方法は、「レジストラ」や「レジストラの代理店」のアカウント、例えば eNom とか お名前.com とか VALUE DOMAIN のアカウントを乗っ取り、正規のドメインに対してサブドメイン(自分のサイトのAレコードを登録)を作りまくって悪用する手口です。
レジストラのアカウントを乗っ取った以上は、サブドメイン以外を書き換えることも技術的には可能ですが、あえてサブドメインの追加のみに留めるているのはドメインの正規所有者に乗っ取られたことを気が付きにくくするためだと思います。サブドメインを勝手に追加しても、正規のサイトにはそのままアクセスできるので、乗っ取り行為の発覚を遅らせる効果があります。
ちなみに、Let's Encrypt ユーザーガイド(Webroot プラグイン) [letsencrypt.jp]によると、サブドメインに対する証明書を取得する場合、サブドメインのドキュメントルート以下に認証ファイルが設置できれば問題無いようです。
ということは、レンタルサーバに契約するとレンタルサーバ会社所有のドメインのサブドメインの使用権が与えられるようなケースの場合、レンタルサーバ契約者がレンタルサーバ会社所有のドメインのサブドメインで Let's Encrypt の証明書を取得できる仕様なようです。権限不足でレンタルサーバ上で Let's Encrypt クライアントが動作しない場合でも、Manual プラグインを使用すれば他のマシンでクライアントを実行できる(認証ファイルのみ手動で設置する)ので、同様に証明書が取得できてしまいます。
他の認証局のDV証明書だと、sub.example.com の証明書を取得する場合でも、
などへの認証用ファイルの設置を要求されるケースが多いので、一般的な認証局のDV証明書とは異なる仕様なようです。
Let's Encrypt は「ドメイン所有者」ではなく「ドメインやサブドメインの実質的な使用者」を認証するという考えなのでしょうね。
Re:「レジストラ」や「レジストラの代理店」のアカウントを乗っ取られた後の話 (スコア:1)
DNS CAAで拒否できるのでは?と書こうと思いましたが、そもそも乗っ取られた状況だとAだけでなくCAAも書き換えできるから、あまり意味がないですかね。
#なお、Let's EncryptはCAAを見るようだ。Certs for subdomains without the domain owner's permission - Issuance Policy - Let's Encrypt Community Support [letsencrypt.org]には、“Let's Encrypt supports the CAA standard”という回答がある。