パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

証明書の不正発行や日付改ざんを行っていた認証局「WoSign」、Firefoxが同社による証明書をブロックへ」記事へのコメント

  • Mozilla が Let's Encrypt Root を認証局として信頼 [letsencrypt.jp] によると、Firefox 50 以降では、Let's Encrypt が Firefox の信頼されたルート証明機関に含まれるようになります。

    今までは、Let's Encrypt は、IdenTrust Root からチェーンされていたことで信頼済みとして扱われていたわけですが、これからは独立した認証局として信頼済みとなります。

    無料でTLS証明書を発行している中国のCA「WoSign」をブロックする一方で、同じく無料でTLS証明書

    • by Anonymous Coward

      Let's Encryptも同じ問題を抱えているという指摘 [ya.maya.st]もあるため、これが事実ならば信頼済みに入れて欲しくないですね。

      • Let's Encryptも同じ問題を抱えている

        全然同じじゃないです。中国最大級の認証局「WoSign」がニセの証明書を発行していたことが判明 [gigazine.net]によると「WoSign」の件は「脆弱性」です。一方、「DNSレコードに認証用のレコードを追加」することでドメイン所有者と認証されるのはACME プロトコルの仕様です。認証の仕組みの概要についてはLet's Encrypt の仕組み [letsencrypt.jp]をご覧ください。

        そもそも、ACMEプロトコルの認証用レコードに「_」が含まれているのは、セキュリティ上の理由です。DNSにはアンダースコア付きのレコードが登録できる [ietf.org]けど、HTTP [ietf.org]とかSMTPとかでは使えないので、ホスティングサービスにお

        • Re: (スコア:2, 参考になる)

          by Anonymous Coward

          ここまで間違い・まとはずれだらけなコメントが参考になるといわれても。

          全然同じじゃないです。

          同じです。
          WoSignと同様にサブドメイン管理者が親ドメインのSSL証明書を取得できることに問題があるという指摘ですが、理解できていますか?
          TXTレコードでドメイン所有権を確認することは一般的ですが、サブドメインのTXTレコードで親ドメインの所有権を確認するのは、一般的ではありません。

          ACMEなんて、Let's Encryptのために作られたもので実績も何もないです。
          それを「問題ない

          • 別ACですが、すごく怒っているのは伝わってくるんだけど・・・

            > ユーザーが自由にサブドメインを作れるサービス(レンタルサーバとかレンタルブログとか)で、
            > 「_acme-challenge.example.com」のようにサブドメイン名にアンダースコアが使えるような
            > サービスは見たことがないので実害も無いでしょう。

            これに、反論しないとあまり意味が無いような気もしますが
            そういうサービスが有るという主張をされているのでしょうか?
            であれば、実例を上げてほしいですね。
            # ってか、ホスト名に「_」っていつの間に使って良くなったんだっけ?

            Let's Encryptは、

            ・親ドメインに任意のサブドメインを追加できる必要がある
            ・「_」を含むサブドメインを追加できる必要がある
            ・実際にそのようなサービスが見当たらない

            と、脆弱性を利用するのに厳しい制限があるのに対して、WoSignは

            ・サブドメインに対応付けられたサーバーの管理権限で
             ルートドメインの証明書を取得可

            さらに

            ・WoSignがSHA-1を使った証明書を日付を偽装して発行
            ・WoSignがStartComを非公開で買収
            ・他

            で数え役満的な措置なんじゃないでしょうかね。
            Let's Encryptの仕組みに全く問題がないとは思いませんが・・・

            親コメント

にわかな奴ほど語りたがる -- あるハッカー

処理中...