パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

オランダの認証局で不正侵入が発覚、不正なSSL証明書が発行される」記事へのコメント

  • Interenet Explorer はブラウザー自体更新しないのに、Firefox や Chrome はブラウザーの更新をするのですね。
    IE 以外は CRL や OCSP に対応していないのかなあ。
    • Re: (スコア:5, 参考になる)

      by Anonymous Coward

      IEはOSの証明書ストアを参照していてOSの証明書ストアはWindows Updateで自動更新されるけど、Firefoxの証明書ストアはバイナリとしてDLLに埋め込まれているから。あと認証局証明書から削除するだけでは不十分だとして、DigiNotarの証明書に対する特別処理のコードを追加している(Comodoのときと同様)。
      Chromeは知らないけどそもそもこの問題が発覚したのはChromeが内部に「正当な」Googleの証明書のシリアル化何かをハードコードしていて、それと一致しなかったDigiNotarの証明書に警告が出されたからなので、Chromeもハードコードされた何かを更新するのではないかな。

      • Re: (スコア:3, 参考になる)

        マイクロソフトのアドバイザリ (http://www.microsoft.com/japan/technet/security/advisory/2607712.mspx) を見る限りでは、証明書ストアの更新を配信したのではなく、OCSP 検証と CLR で無効にするとされていますね。
        OCSP 自体は標準規格なので他のブラウザーでも実装しているはず (http://ja.wikipedia.org/wiki/Online_Certificate_Status_Protocol) ですが、IE 以外はこれだけでは不十分と言う事なのか、それともどこかに問題の証明機関に関してハードコードされた部分があるのか、どちらかなんでしょうね。
        • Re: (スコア:2, 興味深い)

          by Anonymous Coward

          > すべてのサポートされるエディションの Windows Vista、Windows 7、Windows Server 2008 および Windows Server 2008 R2 は証明機関により信頼が確認されるマイクロソフトの証明書信頼リストを使用しています。 これらのオペレーティング システムを使用しているユーザーについて、必要なアクションはありません。マイクロソフトは、既にマイクロソフトの証明書信頼リストから DigiNotar のルート証明書を削除しました。
          これがOCSPやCRLのことだとは読めないんだけど。OCSPやCRLの情報はマイクロソフトじゃなくて認証局や証明書の発行者が作成するものだし。

          • という事で、調べてみました。こういう事のようです。
            • Windows Vista 以降の Windows では、元々 OS の証明書ストアには Windows 自身が依存しているルート証明書などしか含まれていない
            • それ以外の証明書は、それが提示された際に自動的に Windows Update サイトに接続して (ルート証明書がマイクロソフトの「Windows ルート証明書プログラム」のメンバーであれば) 必要なルート証明書だけインストールされる
            • Windows ルート証明書プログラムの証明書信頼リスト (CTL) から DigiNotar は除外された
            • そのため既に DigiNotar のルート証明書がインストールされている環境以外では、今後 DigiNotar のメート証明書がインストールされる事は無く、このルート証明書に依存する証明書はすべて無効になる
            • 既に DigiNotar のルート証明書がインストールされている環境では、OCSP または CRL の機構によって DigiNotar のルート証明書に依存する証明書が失効される (はずである)

            で、おそらく Windows ルート証明書の更新が行われるタイミングで、既にインストールされている DigiNotar のルート証明書が削除されるのではないかと思います。
            Windows XP では Windows Vista 以降と違ってルート証明書をオンデマンドでインストールする仕組みが無い上に、CLR の確認も既定では無効なので、Windows Update で「ルート証明書の更新プログラム」が提供されないとだめなんですね。

            親コメント

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

処理中...