Symantec、google.comなどのテスト証明書を手違いで無断発行 23
ストーリー by hylom
やらかしましたね 部門より
やらかしましたね 部門より
米Symantecの「手違い」により、GoogleやOperaなど5組織向けのテスト証明書23件がドメイン所有者の知らないうちに発行されていたそうだ(ITmedia)。
Symantecは76ドメイン向けの証明書164件と、未登録ドメイン向けの証明書2458件を不正に発行していたと発表。これに対しGoogleは「懸念すべき状況」として批判、Googleの提唱するCertificate Transparencyに準拠しない証明書については「安全とみなさない」対応を行う可能性があるとしている。
不正発行のニュースって去年中頃じゃなかったっけ (スコア:0)
いくらスラドでも取り上げるの遅すぎでは…と思ったがITmediaの記事読むとその後さらにgdgdになってたのね。こりゃGoogleがキレるわけだわ。
タレコミ見ても時系列が全然明らかじゃないどころか23件なのか164件+2458件なのか矛盾しているように見えるのはいつものhylomだからいいとして
Re: (スコア:0)
去年じゃなかった先月だ
Re:不正発行のニュースって去年中頃じゃなかったっけ (スコア:5, 参考になる)
月が変わってたから先々月だったorz。おわびに時系列をまとめておくと
9月14日 GoogleがCTのログからSymantec(の子会社のThawte)によるgoogle.comのEV証明書の不正発行を発見(ITmediaの記事にはないけどこのへん [livedoor.jp]参照)
10月2日 Symantecがテスト証明書23件の不正発行を報告
10月6日 GoogleがCTのログから不正発行された証明書はその他にもあると指摘
10月12日 Symantecがさらに76ドメイン向けの証明書164件と未登録ドメイン向けの証明書2458件を発見したと報告
10月28日 Google激おこ [blogspot.jp]
Re:不正発行のニュースって去年中頃じゃなかったっけ (スコア:2, すばらしい洞察)
過去ログを読んだときに便利なように、はなから何年の何月と書くのがいいでしょう
証明書にも重み付けを (スコア:0)
そこらにあるクソフトの署名にお墨付きを出してるのは誰か(どの鯖か)、みるひとはみてる
俺もみてた、最近静的解析から離れてるので名を出せないだけだ
反中韓の人なら、Baiduが署名したAuthenticodeは蹴りたいだろう
逆に、中韓系企業で働いてるなら、Baiduの署名は尊重しないといけないだろう
一律に、OSに任せて、与信するしないで判断するのはやめにしないか
Re: (スコア:0)
Re:証明書にも重み付けを (スコア:2, 参考になる)
MSの証明書ストアに含まれるルート証明書は勝手に復活するから削除したらダメ。当該証明書のプロパティ→「証明書の目的」→「この証明書の目的をすべて無効にする」を選ぶ必要がある
Re:証明書にも重み付けを (スコア:2, 参考になる)
さらにWindows 7以降はすべての証明書が最初から登録されているわけではない(勝手に復活するのと同じ仕組みで勝手に追加されていく)ので、まずローカルの証明書ストア上で証明書をフルコンプする必要がある(参照: 1 [livedoor.jp] 2 [livedoor.jp])。もちろん新しいルート証明書が随時追加される可能性があるので、かつてのCCCの個人情報提供の停止 [srad.jp]よろしく監視し続ける必要がある。とてもじゃないが「削除すればいいだけ」なんて手間からはほど遠い。
ここまで書いて「いくらなんでもルート証明書の自動更新を無効にするグループポリシー設定くらいあるよね?」と思って調べてみたらあるらしい [microsoft.com]。対象がXPSP2と2003SP1とかなってるのが気になるし、試してないけど。
Re:証明書にも重み付けを (スコア:2, 参考になる)
http://blogs.technet.com/b/jpsecurity/archive/2013/06/12/3578245.aspx [technet.com]
ここの3の手順でMSが信頼する全ルート証明書が取得できて
それをカスタマイズしてPCに設定できますよ
Re: (スコア:0)
今はSymantecになってるからどこのことだかわからないの? 旧VeriSignだよ
Re:証明書にも重み付けを (スコア:2)
問題を起こしたのはシマンテックの子会社のThawteって言ってたけど…。
2000年にThawte社はベリサイン社に買収された
2010年にベリサイン社はシマンテックに買収された
|・ω・)。o (ややこしいね)
Re:証明書にも重み付けを (スコア:2)
Site Finder [impress.co.jp]問題の時といい、VeriSign(とそれを引き継ぐ企業)はドメインを私物化する傾向があるのですかねえ。
# 比較的最近の出来事かと思ってたら12年前でショックを受けている
Re: (スコア:0)
ドメイン見て会社に訪ねて行って「ふむふむ、御社は...」ってやって一個ずつ判断したけりゃやるのは勝手にゃ。
Re: (スコア:0)
実在を確認したってしょうがないですよ
取引に足る会社かどうかです
噂は本当だった? (スコア:0)
やっぱりセキュリティ会社がウイルスをばら撒いてるという噂は本当だったんだ!
外部からの指摘、調査にかかった時間、影響範囲の間違い、
これでセキュリティ会社だっていうんだからどうしようもない。
Re: (スコア:0)
病院にいったら風邪もらうだろ、あれと一緒だ。
Re: (スコア:0)
ウィルスを除いているとき、ウィルスもまたこちらを覗いているのだ
Re: (スコア:0)
個人情報をばらまくセキュリティ会社があるんだから
その程度驚くようなことではない
やっぱりオレオレ証明書に限るわ (スコア:0)
信用できる相手から信用できる方法でもらった証明書以外は使うべきじゃない。
OSに元から入ってるどこの馬の骨ともわからんような会社が発行した証明書を信用するとか、頭がおかしい。
Re: (スコア:0)
皮肉なんでしょうけど、実際そうなってしまってるって話ですよね
証明書チェーンに依存しきることは、もうできないってことでしょう
あとは、単純な与信でなく、利便とリスクをすべていちいち天秤にかけながらの運用
信頼できるのは自分の金庫だけ(自分の金庫の鍵は自分で生成して付ける)
Re: (スコア:0)
つPGP つGPG
内容を見ればどこが裏にいるかわかるんじゃない (スコア:0)
こんなんどう考えても「どこかの企業が社員を買収して悪意ある行為をさせた」だろ。
この問題が判明しなかったらこれらの企業の製品に向けた攻撃が大流行してただろう、
そのときに一番利益を得るところが犯人。
とりあえずAndroid死ね死ね、Operaブラウザ死ね死ね、
McFee(Intel)ではなくSymantecのほうを買収する、
となるとまぁ浮かぶ企業はあそこくらいしかないけどな
Re: (スコア:0)
この辺のコメント [security.srad.jp]とかそのリンク先 [livedoor.jp]でいくらか詳しい情報が出てますよ。
(多分、CT関係の)テストの為に有名どころな他人のドメインの証明書(有効期間2日)を
本番環境で勝手に作ってしまったってのが最初に発覚した問題のあらすじだと思いますよ。
悪意もクソもなく、ただひたすらにモラルや技術力や想像力に欠けていたというだけの話。
CTのテストでそれも相手がCTの提案者であるGoogleだったから白日の元に晒されたけれ