パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

トルコの認証局、手違いで中間CA証明書を発行。早速攻撃に使われる 」記事へのコメント

  • iOSやレガシーなガラケー(フィーチャーフォン)など、ファームウェア組み込みの証明書の有効無効が
    個別対応できないものは全部危険ですね。今思いついたのはその二つですが、まだまだあると思います。

    • 証明書があっても、DNSキャッシュポイズニングとか、IPアドレスの詐称とか、あやしいネットワークにつないだときとかに、「なりすまし」の可能性があるということになるのでしょう。
      フィーチャー・フォンは、そこそこ真っ当なネットワークにつながって、そこそこ真っ当なDNSサーバを用いるでしょうから、リスクが軽減されるように思います。

      インターネットは、どこでどのように通信が盗聴・改ざんされるか分からないですが、現実的にはクライアント側のネットワーク、DNSが安全なら、そこそこ安心な気がします。そして、あやしいネットワークにつながっている場合は、証明書があっても安心出来ない。

      #個人的な感想です。安全性を保証するものではありません。
      親コメント
      • フィーチャー・フォンは、そこそこ真っ当なネットワークにつながって、そこそこ真っ当なDNSサーバを用いるでしょうから、リスクが軽減されるように思います。

        軽減されませんよ。
        悪質なサイトが、今回誤発行された中間CA証明書を用いた認証局から発行された証明書を使うことによって、さも信頼されたサイトであるかのように振舞えることが問題なのであって、どのようなネットワークを経由するかは関係ありません。

        仮に携帯電話(スマフォ含む)のブラウザにTURKTRUSTの証明書が入っている場合は、ブラウザにアップデートをかけて証明書を外すか、TURKTRUST由来の証明書を使っているサイトをキャリア側で全ブロックするぐらいしかないでしょう。
        キャリアもしくは端末メーカーなら上のどちらかをやってくれるよね、というならそりゃ当然だと思いますが、キャリアのネットワークだから(何もしなくても)インターネットよりも低リスクということなら、それは全く違うと思います。

        親コメント
        • 証明書の仕組みが正しく働いているときであっても、証明書というのは、「このサイトは安全です」と証明するものではなくて、「このサイトは『なりすまし』ではありません」と証明してくれるだけだと思います。SSL の証明書を持つフィッシングサイトがあってもおかしくありません。

          流出した中間CA証明書を利用すれば、例えば、https://direct.smbc.co.jp/ という偽のサイトを作るのは簡単でしょう。しかし、クライアントを偽サーバと通信させるようにする必要があります。これは、クライアントが自分の管理するネットワークに接続していれば簡単ですが、そうで無ければ、あまり簡単ではないと思います。どうにかして、DNSキャッシュサーバから偽の IPアドレスを答えさせるとか、IPアドレスを偽装するとかが必要になるのではないでしょうか?
          親コメント
      • by Anonymous Coward


        フィーチャーフォン云々から証明書関連に問題が無い場合の話と理解するけど、
        詐称ホストにつないだときにどうやって詐称ホストは証明付きの証明書を返すのだ?

        # 後半は突っ込みどころが多いのでほっとく。

      • by Anonymous Coward

        DNSってろくでもない運用されてることが非常に多いシステムらしいので(例:設定ミスを仕様と言い張るバズワード「浸透」)、
        携帯電話のキャリアが運用しているからといって安心できるわけではないと思います。
        むしろ、大量の人間が3大ネットワークに集中しそのネットワークをあなた同様に信用している状況は、危険です。
        簡単ログイン(笑)とかが横行してたの、忘れた?

アレゲは一日にしてならず -- アレゲ見習い

処理中...