クラックされた認証局から偽のSSL証明書が発行される 22
ストーリー by hylom
影響の大きそうなドメインばっかりなんですが 部門より
影響の大きそうなドメインばっかりなんですが 部門より
あるAnonymous Coward 曰く、
SSL認証局のComodo Groupがアカウント情報を入手した何者かの仕業により、偽のSSL証明書9件を発行してしまったそうだ(ITmedia記事)。Comodoで証明書発行の申請を審査しているアカウント情報が盗まれ、それによって偽証明書が発行された模様。
影響を受けるのは、Hotmailのログインに使われている「login.live.com」のほか、Googleの「mail.google.com」「www.google.com」、Yahoo!の「login.yahoo.com」(3件の証明書が関連)、Skypeの「login.skype.com」、Firefoxアドオン用の「addons.mozilla.org」、および「Global Trustee」の各ドメイン。
FirefoxとWindowsには問題の証明書をブロックできるアップデートが既にリリースされているので、可及的速やかに適用したい。
ComodoはCAとして信頼できない (スコア:3, 興味深い)
Comodoは以前も似たような事件を起こしているし、CAとしてはかなり問題があると思います。
Comodo CAがサーバ証明書を関係のない第三者に発行、大問題に [srad.jp]
直接的にはリセラーだかパートナーだかがやらかした問題なのかもしれないけど、不正発行を最終的に防止する義務があるのは CA のはず。
対象の証明書を無効化してオシマイにすべき話ではないでしょう。
ComodoのRootCA証明書を信頼済み証明書リストから削除してもいいくらいだと思います。
Re:ComodoはCAとして信頼できない (スコア:1)
ComodoのRootCA証明書を証明書ストアから削除して、どのくらい困るか実験中・・・
検証エラーになった実例ぼしう
Re:ComodoはCAとして信頼できない (スコア:1, 参考になる)
お使いのブラウザが何だかわかりませんが、IEだと削除しても勝手に復活します。
証明書自体は削除しないで、「この証明書の目的をすべて無効にする」を選択する [takagi-hiromitsu.jp]のが正解。
Re:ComodoはCAとして信頼できない (スコア:1)
おお、Windows Update か何かで復活しちゃうんですね。
自分のメインブラウザはFirefoxですが、削除ではなく、証明書の目的3つのチェックをすべて外していました。
Firefox4 (スコア:2)
偽の証明書じゃないよね (スコア:2, すばらしい洞察)
この証明書は偽物でなく本物なのじゃないの?
本物の証明書が不正な手段によって取得されたというのが問題でしょ?
Re:偽の証明書じゃないよね (スコア:1)
偽の証明書というと, いわゆるオレオレ認証で, 正規に登録されていない認証局で発行された証明書が使われるってことですよね. この場合, 最近のブラウザなんかだと正規の認証局が発行した証明書じゃないと警告が出る(にもかかわらず信用しちゃったりする人も多い)けど, 今回の場合は本物の証明書だから警告が出ないということですよね.
インターネット上でこの証明書を使ってもホスト名が一致しないけど (スコア:1)
中国みたいな金盾(のようなもの)完備の国だと、こうやって入手した証明書を使ってSSLを検閲し放題だよねー、
って誰かが書いてたのを見て目から鱗だった。
Re: (スコア:0)
その場合も証明書のパスが変なことになるので(Comodoが証明する~があり、googleのSSLが~により証明されている状態、等)ユーザからすれば確認可能な状態が維持されます。
証明書のパスをごまかすには、ユーザ側に攻撃者の証明書を受け入れさせておくかユーザが受け入れている証明書の秘密鍵を強奪する必要があるので現実的ではありません。
尤も一々確認する人は少ないでしょうし、署名する権限さえ手に入れてしまえば十分脅威ではありますが…
認証局へのペナルティってないの? (スコア:0)
Re:認証局へのペナルティってないの? (スコア:2, 参考になる)
っ http://support.microsoft.com/kb/293818 [microsoft.com]
#もう10年も前かぁ
CRL (スコア:0)
当然 CRL にも入っているので、モダンなブラウザは大丈夫なはずなんですけど、
w3m とか Safari とか 携帯電話のブラウザはどうなんでしょうねえ。
Re:CRL (スコア:4, 参考になる)
IE の場合、デフォルトの設定だと"インターネットオプション"の"詳細設定"の"セキュリティ"にある"サーバの証明書失効を確認する"が off になっていませんか?
これって、デフォルトでは CRL を確認しないって事ですよね。
あと Opera は CRL を見ないって話を聞いた事があります。
でも OCSP [wikipedia.org] に対応していてデフォルトで有効になっているので、大丈夫なのかな?
# Opera 11.01 の opera:config で有効になっているのを確認
Re:CRL (スコア:4, 参考になる)
CRL以外にOCSP検証もWindows VistaのInternet Explorer 7から既定で有効になっています。
Re:CRL (スコア:1)
(WindowsXP IE8)
# ついでにFirefoxを4にしてみた
Re: (スコア:0)
7はデフォルトONです。おそらくVistaから。>サーバの証明書失効を確認する
Re:CRL (スコア:1)
7だけどオフになってた。オフにした覚えはないけど。
Re: (スコア:0)
突然のUpdate (スコア:0)
最近の社会的トラブル続きで全然気が付いていない所に
何故か突然に事前の予告も無いWidowsUpdateやFireFoxのUpdate通知
こんなヤバイネタだったとは…
職場ではgmailとかyahooとかはFWで元々塞いでいるけどaddonはどうだったろう?
# 安否確認で初めてgmailアカウントを作ったAC
Re: (スコア:0)
MSのセキュリティブログ [technet.com]でもうちょっとわかりやすく書いてほしかった。
Re:突然のUpdate (スコア:1)
「インターネット上の Web サイトに到達可能なのに、OCSP をブロックしているようなアホなネットワーク管理者は死ね」と書いてあれば良かったのかなあ。