パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Google所有ドメイン向けの不正証明書が発行されていた」記事へのコメント

  • 組織のプライベートネットワーク内の通信を覗くためという話ですが、
    たぶんプライベートネットワーク内ではなく、外部との通信内容を覗き
    見るために使われたのでしょう。
    あくまで、覗き見した場所がプライベートネットワーク内だったという
    だけで。
    そうでなくては、Google関連のドメインが不正に使われた理由が不明。

    内部統制で社員がどんな動画を見てんだ、どんなファイルをクラウドに
    アップロードしてるんだ、というような検査をする場合にSSLを使われる
    と内容がわかりません。

    最近は内部統制はもちろん、標的型攻撃による情報盗難に対抗するため
    出口対策をとっているところも多いと思いますが

    • 単にhttp以外通さなきゃ良いんじゃないの?

      親コメント
      • by Anonymous Coward
        それだと、オンラインバンキングサイトにアクセスして取引先企業に送金する、と言った業務が安全には出来なくなる。

        1. 社内の全てのコンピュータに、「中間者攻撃用証明書」をインストールしておく
        2. プロキシサーバなり外向きのゲートウェイなりは、https通信を検出したら、中間者攻撃用証明書の元になった秘密鍵を使って、
          リクエストのあった通信先の証明書をでっち上げ、その証明書で自分自身がクライアントとhttpsで通信を開始
        3. ゲートウェイは本来の接続先に通常のhttpsで接続してデータをやりとり、クライアントに転送する

        と、やれば、社外から見ると元通り。
        社内的にも、ルータまでhttpsで保護されているので、社内のハブやらに何かを仕込んでデータを盗み出す事も出来ない。
        少なくとも、https直結の場合と同じセキュリティは保てる。

        唯一、ゲートウェイが乗っ取られると、全部の通信がだだ漏れだけど、
        まあ、これは、通信データを総チェックしたいという要望からしてしょうがない。

アレゲは一日にしてならず -- アレゲ見習い

処理中...