アカウント名:
パスワード:
iOSやレガシーなガラケー(フィーチャーフォン)など、ファームウェア組み込みの証明書の有効無効が個別対応できないものは全部危険ですね。今思いついたのはその二つですが、まだまだあると思います。
フィーチャー・フォンは、そこそこ真っ当なネットワークにつながって、そこそこ真っ当なDNSサーバを用いるでしょうから、リスクが軽減されるように思います。
軽減されませんよ。悪質なサイトが、今回誤発行された中間CA証明書を用いた認証局から発行された証明書を使うことによって、さも信頼されたサイトであるかのように振舞えることが問題なのであって、どのようなネットワークを経由するかは関係ありません。
仮に携帯電話(スマフォ含む)のブラウザにTURKTRUSTの証明書が入っている場合は、ブラウザにアップデートをかけて証明書を外すか、TURKTRUST由来の証明書を使っているサイトをキャリア側で全ブロックするぐらいしかないでしょう。キャリアもしくは端末メーカーなら上のどちらかをやってくれるよね、というならそりゃ当然だと思いますが、キャリアのネットワークだから(何もしなくても)インターネットよりも低リスクということなら、それは全く違うと思います。
?フィーチャーフォン云々から証明書関連に問題が無い場合の話と理解するけど、詐称ホストにつないだときにどうやって詐称ホストは証明付きの証明書を返すのだ?
# 後半は突っ込みどころが多いのでほっとく。
DNSってろくでもない運用されてることが非常に多いシステムらしいので(例:設定ミスを仕様と言い張るバズワード「浸透」)、携帯電話のキャリアが運用しているからといって安心できるわけではないと思います。むしろ、大量の人間が3大ネットワークに集中しそのネットワークをあなた同様に信用している状況は、危険です。簡単ログイン(笑)とかが横行してたの、忘れた?
日本のフィーチャーフォンにトルコの認証局の証明書が入っているとはとても思えない。
えっ?
*.google.com のサイト全てに関係あるってことじゃないの?Googleが証明証をトルコの認証局から取ったってだけで。
教えてエロイ人。
証明書の仕組みわかってる?
元のACとは別人だが分からないので教えてくれ。
証明書ってのは、公開鍵の正当性を証明するものだよね。山田さんが公開している証明書で暗号の解読ができればその証明書で解読できる暗号を作れる秘密鍵を持った人しかいないので、この暗号データは山田さんしかありえない、と言うのが証明書の基本。
ただしこの状態だと、その公開鍵証明書は、そもそも本当に山田さんと結びつけられたものなのかと言う事が分からない。その時「山田さんが公開している公開鍵証明書である」と言う事を証明する手段が、その上位の証明書ということだよね?
その上位の証明書というのが
元ACが「TURKTRUSTの証明書が日本のフィーチャーフォンに入ってるとは思えない」と語っているけど、この推測が確かで、証明書の更新ができないような古いフィーチャーフォンにはTURKTRUSTのルート証明書が入っていないのだとすると、元が絶たれるわけでフィーチャーフォンは素性の分からない証明書だよと最低でも警告を出してくる(オレオレ証明書と同じ事になる)んじゃ無いかなあ。
ここ笑うとこ?
あなたの方がわかってないと思いますよ。ルートCAとしてTURKTRUSTが登録されてないならTURKTRUSTが認証した今回の中間CAも認証されない。その中間CAが認証した偽Googleも認証されない。信頼のチェーンが切れてるから自前CAのオレオレ証明書と同レベル。
もう一度引用部分を読み解いてみるといいよ分がよじれているのはわかっているからあえて出したまでだけど
どう読んでも笑うところがありませんけど。あなたは、自分の解釈が間違っていると言う考えは無いのですか。あるいは間違っていることに気付いているが、それを認めたくないために具体的な指摘をせずに強弁を続けているのですか?
後者でしょうね。このツリーには理解できてないのがいっぱい釣れてるみたいですし。
例が悪いから誤解されたのかな。
山田さんが公開している証明書で暗号の解読ができればその証明書で解読できる暗号を作れる秘密鍵を持った人しかいないので、この暗号データは山田さんしかありえない、と言うのが証明書の基本。
ここだけ読むと公開鍵暗号は暗号解読だけしかできず、公開鍵は常にどこかに公開されているものと言う風に読めなくもないけど(だから「証明書が入ってないのに素性の分からない証明書だと警告してくると言うのは矛盾している」と言った勘違いをしてしまうのでは無いかな)SSL通信をする時は
1. サーバからクライアントに暗号化のための公開鍵証明書が送られてくる2. クライアント側は暗号化のための公開鍵証明書が本当に明記されている相手のものかどうかの
もしかしてアレか。(#2303144)と(#2303082)はDNSのルートサーバ見たいな証明書が存在してて各種ルート証明書はそれにぶら下がってる、的な誤解でもしてるのかな?
そんなもん存在しません。認証機構を搭載する製品はその出荷元がよさげなルート証明書を適当にぶち込んで出荷してるだけです。ガラケーなんぞ、キャリアとキャリアお墨付きもらおう的な集団が使うルート証明書を含めばいいだけなので、最悪一般的な証明書が一個も入ってなくても成立する(全員キャリアの証明書にぶら下がれる)ような環境です。
認証局リストって一つ一つ吟味しないで信頼できることになっている一覧表をそのまま突っ込んであるんじゃないの?下手に自主的な判断で削って、「どこどこのサイトが使えないぞ」というクレームが来る方が面倒でしょう。
別に面倒じゃないでしょ。『「このサイトの証明書は信頼されていません。接続しますか?」と表示されますが、「はい」を選んでください』って何処かに提示しておくだけです。
ここは是非ガラケーもちに人柱になってもらいたいところ
件のルート認証局。ルート証明書がないなら警告が出るはず…https://www.turktrust.com.tr/ [turktrust.com.tr]
PCのブラウザだとどうなるんだろうとやってみた結果… operaだとルート証明書を削除しても勝手に復活(消せてない?) chromeだとルート証明書は削除不可
ドコモP903iTVで試してみたら「SSL通信 このサイトの安全性が確認できません 接続しますか?」って出ました。
感謝。
書き込んでから携帯用に使うSSL決めるときにこのサイトでルート証明書の有無確認してたのを思い出しましたhttp://triaez.kaisei.org/~kaoru/ssl/cell.html [kaisei.org]
どういう理由かは不明だけれどわりと絞り込んでる様子
テレビ(TH-L26X1)からアクセスを試みたところ、失敗しました。
内部エラーが発生しました。(B001-57)アクセスできません :https://www.turktrust.com.tr/ [turktrust.com.tr]
https://twitter.com/ [twitter.com] なども同じエラーでアクセスできませんが、 https://cs.kddi.com/ [kddi.com] など正常にアクセスできるところもある機種です。
逆に考えれば、これを使えばいくらでも脱獄できる
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
updateできないデバイスは危険 (スコア:0)
iOSやレガシーなガラケー(フィーチャーフォン)など、ファームウェア組み込みの証明書の有効無効が
個別対応できないものは全部危険ですね。今思いついたのはその二つですが、まだまだあると思います。
Re:updateできないデバイスは危険 (スコア:1)
フィーチャー・フォンは、そこそこ真っ当なネットワークにつながって、そこそこ真っ当なDNSサーバを用いるでしょうから、リスクが軽減されるように思います。
インターネットは、どこでどのように通信が盗聴・改ざんされるか分からないですが、現実的にはクライアント側のネットワーク、DNSが安全なら、そこそこ安心な気がします。そして、あやしいネットワークにつながっている場合は、証明書があっても安心出来ない。
#個人的な感想です。安全性を保証するものではありません。
Re:updateできないデバイスは危険 (スコア:2)
軽減されませんよ。
悪質なサイトが、今回誤発行された中間CA証明書を用いた認証局から発行された証明書を使うことによって、さも信頼されたサイトであるかのように振舞えることが問題なのであって、どのようなネットワークを経由するかは関係ありません。
仮に携帯電話(スマフォ含む)のブラウザにTURKTRUSTの証明書が入っている場合は、ブラウザにアップデートをかけて証明書を外すか、TURKTRUST由来の証明書を使っているサイトをキャリア側で全ブロックするぐらいしかないでしょう。
キャリアもしくは端末メーカーなら上のどちらかをやってくれるよね、というならそりゃ当然だと思いますが、キャリアのネットワークだから(何もしなくても)インターネットよりも低リスクということなら、それは全く違うと思います。
Re:updateできないデバイスは危険 (スコア:1)
流出した中間CA証明書を利用すれば、例えば、https://direct.smbc.co.jp/ という偽のサイトを作るのは簡単でしょう。しかし、クライアントを偽サーバと通信させるようにする必要があります。これは、クライアントが自分の管理するネットワークに接続していれば簡単ですが、そうで無ければ、あまり簡単ではないと思います。どうにかして、DNSキャッシュサーバから偽の IPアドレスを答えさせるとか、IPアドレスを偽装するとかが必要になるのではないでしょうか?
Re: (スコア:0)
?
フィーチャーフォン云々から証明書関連に問題が無い場合の話と理解するけど、
詐称ホストにつないだときにどうやって詐称ホストは証明付きの証明書を返すのだ?
# 後半は突っ込みどころが多いのでほっとく。
Re: (スコア:0)
DNSってろくでもない運用されてることが非常に多いシステムらしいので(例:設定ミスを仕様と言い張るバズワード「浸透」)、
携帯電話のキャリアが運用しているからといって安心できるわけではないと思います。
むしろ、大量の人間が3大ネットワークに集中しそのネットワークをあなた同様に信用している状況は、危険です。
簡単ログイン(笑)とかが横行してたの、忘れた?
Re: (スコア:0)
日本のフィーチャーフォンにトルコの認証局の証明書が入っているとはとても思えない。
Re: (スコア:0)
えっ?
Re: (スコア:0)
*.google.com のサイト全てに関係あるってことじゃないの?
Googleが証明証をトルコの認証局から取ったってだけで。
教えてエロイ人。
Re: (スコア:0)
Re: (スコア:0)
証明書の仕組みわかってる?
Re: (スコア:0)
元のACとは別人だが分からないので教えてくれ。
証明書ってのは、公開鍵の正当性を証明するものだよね。
山田さんが公開している証明書で暗号の解読ができればその証明書で解読できる暗号を作れる秘密鍵を持った人しかいないので、この暗号データは山田さんしかありえない、と言うのが証明書の基本。
ただしこの状態だと、その公開鍵証明書は、そもそも本当に山田さんと結びつけられたものなのかと言う事が分からない。
その時「山田さんが公開している公開鍵証明書である」と言う事を証明する手段が、その上位の証明書ということだよね?
その上位の証明書というのが
Re: (スコア:0)
ここ笑うとこ?
Re:updateできないデバイスは危険 (スコア:1)
あなたの方がわかってないと思いますよ。
ルートCAとしてTURKTRUSTが登録されてないならTURKTRUSTが認証した今回の中間CAも認証されない。その中間CAが認証した偽Googleも認証されない。信頼のチェーンが切れてるから自前CAのオレオレ証明書と同レベル。
Re: (スコア:0)
もう一度引用部分を読み解いてみるといいよ
分がよじれているのはわかっているからあえて出したまでだけど
Re: (スコア:0)
どう読んでも笑うところがありませんけど。
あなたは、自分の解釈が間違っていると言う考えは無いのですか。
あるいは間違っていることに気付いているが、それを認めたくないために具体的な指摘をせずに強弁を続けているのですか?
Re: (スコア:0)
後者でしょうね。
このツリーには理解できてないのがいっぱい釣れてるみたいですし。
Re: (スコア:0)
例が悪いから誤解されたのかな。
山田さんが公開している証明書で暗号の解読ができればその証明書で解読できる暗号を作れる秘密鍵を持った人しかいないので、この暗号データは山田さんしかありえない、と言うのが証明書の基本。
ここだけ読むと公開鍵暗号は暗号解読だけしかできず、公開鍵は常にどこかに公開されているものと言う風に読めなくもないけど(だから「証明書が入ってないのに素性の分からない証明書だと警告してくると言うのは矛盾している」と言った勘違いをしてしまうのでは無いかな)SSL通信をする時は
1. サーバからクライアントに暗号化のための公開鍵証明書が送られてくる
2. クライアント側は暗号化のための公開鍵証明書が本当に明記されている相手のものかどうかの
Re: (スコア:0)
もしかしてアレか。
(#2303144)と(#2303082)はDNSのルートサーバ見たいな証明書が存在してて各種ルート証明書はそれにぶら下がってる、的な誤解でもしてるのかな?
そんなもん存在しません。
認証機構を搭載する製品はその出荷元がよさげなルート証明書を適当にぶち込んで出荷してるだけです。
ガラケーなんぞ、キャリアとキャリアお墨付きもらおう的な集団が使うルート証明書を含めばいいだけなので、最悪一般的な証明書が一個も入ってなくても成立する(全員キャリアの証明書にぶら下がれる)ような環境です。
Re: (スコア:0)
認証局リストって一つ一つ吟味しないで信頼できることになっている一覧表をそのまま突っ込んであるんじゃないの?
下手に自主的な判断で削って、「どこどこのサイトが使えないぞ」というクレームが来る方が面倒でしょう。
Re:updateできないデバイスは危険 (スコア:1)
別に面倒じゃないでしょ。
『「このサイトの証明書は信頼されていません。接続しますか?」と表示されますが、「はい」を選んでください』って何処かに提示しておくだけです。
Re: (スコア:0)
ここは是非ガラケーもちに人柱になってもらいたいところ
件のルート認証局。ルート証明書がないなら警告が出るはず…
https://www.turktrust.com.tr/ [turktrust.com.tr]
PCのブラウザだとどうなるんだろうとやってみた結果…
operaだとルート証明書を削除しても勝手に復活(消せてない?)
chromeだとルート証明書は削除不可
Re:updateできないデバイスは危険 (スコア:3, 参考になる)
ドコモP903iTVで試してみたら「SSL通信 このサイトの安全性が確認できません 接続しますか?」って出ました。
Re:updateできないデバイスは危険 (スコア:1)
感謝。
書き込んでから携帯用に使うSSL決めるときにこのサイトでルート証明書の有無確認してたのを思い出しました
http://triaez.kaisei.org/~kaoru/ssl/cell.html [kaisei.org]
どういう理由かは不明だけれどわりと絞り込んでる様子
Re: (スコア:0)
テレビ(TH-L26X1)からアクセスを試みたところ、失敗しました。
内部エラーが発生しました。(B001-57)
アクセスできません :
https://www.turktrust.com.tr/ [turktrust.com.tr]
https://twitter.com/ [twitter.com] なども同じエラーでアクセスできませんが、 https://cs.kddi.com/ [kddi.com] など正常にアクセスできるところもある機種です。
Re: (スコア:0)
逆に考えれば、これを使えばいくらでも脱獄できる