パスワードを忘れた? アカウント作成
12648477 story
Firefox

Firefox、一部のウイルス対策製品の影響でSHA-1対応を一時的に復活 7

ストーリー by hylom
そんな落とし穴が 部門より

Firefox 43で1月1日よりSHA-1を使って署名された新規の証明書のサポートが中止された。しかし、これによって「中間者攻撃的な挙動を行うデバイス」を利用しているユーザーがHTTPSを利用できない状況になったことから、Firefox 43.0.4では一時的にSHA-1を利用する証明書のサポートを復活させることにしたという(ITmediaMozilla Security Blog)。

いくつかのセキュリティソフトやウイルス対策ソフトなどが「中間者攻撃的な挙動を行うデバイス」に含まれる模様。こういったソフトウェアはHTTPSで保護された通信内容にアクセスするために独自に作成した証明書を利用するが、その証明書がSHA-1を利用している場合問題が発生するという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年01月12日 14時48分 (#2947881)

    最新ブラウザに対応してないセキュリティベンダーがブラウザをダウングレードしろと言ったり、SHA-1の証明書で「中間者攻撃的な挙動」してやっぱりユーザーがブラウザを旧バージョンにもどしちゃったり・・・足引っ張ってばか。

    • by Anonymous Coward on 2016年01月12日 16時08分 (#2947935)

      だいじょーぶ。
      そういう製品を使うネットワークなら、FireFoxがその製品を経由せずに外部のサーバと通信するはずがない。
      FireFoxから外部へのhttpsは、2つに分割されて、

      インターネット上のサーバ←[A]→セキュリティ対策のやつ←[B]→FireFox

      こう繋がるわけで、「FireFoxがSHA-1を受け付けるように設定変更」した場合の弱体化は、[B]の部分、
      FireFoxからクライアント端末、セキュリティ製品まで導入された意識の高いLANを経由して、セキュリティ製品までのみ。
      外部と通信通信する[A]の部分は、FireFoxの設定とは無関係。

      そして、セキュリティベンダがSHA-1なんかを使うはずが無いので、[A]において外部との通信にSHA-1が使われるはずがない。証明終了。

      # あれ?

      親コメント
      • by Anonymous Coward

        > 意識の高いLAN
        「意識高い系セキュリティ」という言葉がふと思いついた。

        • by Anonymous Coward

          スタバで見せ付けるようにMac広げて社内文書全開で仕事するんですね

    • by Anonymous Coward
      セキュリティソフトを動かすために、セキュリティリスクの高い状態に戻す。
      教科書にも出そうな本末転倒。

      どう考えても、セキュリティベンダ側の問題で、その対応に時間がかかるというのならセキュリティベンダとしての資格がないんじゃないかという話。
      • by Anonymous Coward

        具体的なセキュリティソフトの名前を出さないのは大人の事情でしょうか
        大手ベンダーは皆やってるの?

        お正月にディスク交換も兼ねて環境再構築したらタレコミ文の現象が発生しました
        他のOS標準ブラウザ等では問題ないってことは気づかないってことですかい

        • by Anonymous Coward

          他のベンダーのSHA-1廃止スケジュールを全く調べようともせずにそんなこと言われてもな

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...