アカウント名:
パスワード:
「同一のHTTPS証明書」って、これはサーバー側の話だよね?
同じ証明書って、箱から出してそのまま(証明書の発行とか申請しなくても)即使える、証明書取得済みのサーバーって売ってるの?てかそんなこと可能なの?サーバー名違うだろうに。
それとも、ここで言っている「同じ証明書」とは、中に含まれる公開鍵が同じ値って意味なのかな?
秘密鍵が固定、あるいはデフォルトの秘密鍵が用意された状態のサーバーが売られていて、管理者が独自の鍵ペアを作らずに、デフォルトの鍵を認証局に送って証明書の発行を申請するから、みんな中身が同じ証明書が発行されるってこと?
同じ証明書って、箱から出してそのまま(証明書の発行とか申請しなくても)即使える、証明書取得済みのサーバーって売ってるの?
今回問題になっているのは、いわゆる普通のウェブサーバとかじゃなくて、スイッチングハブとかファイアウォールとかロードバランサとかのネットワーク機器です。
そんなネットワーク機器が売っているかどうか、という話なら、普通に売っています。
いわゆる普通のウェブサーバだと、インストール直後は証明書が存在していないか、お試し用のオレオレ証明書をランダムに生成することが多いんじゃないかと思います。
てかそんなこと可能なの?サーバー名違うだろうに。
可能か不可能か、って話で言えば可能です。しかし、あなたの指摘の通り、正しい証明書ではありません。なので、ブラウザでアクセスすると、警告が表示されます。
こういったネットワーク機器のHTTPS接続機能というのは、主に設定変更画面などに使われます。そういう通信は大抵、インターネットの様な信用できない経路を通さない、というポリシで運用されています。その限りにおいては、今回の脆弱性は、何の問題にもなりません。そもそも、HTTPSで通信する必要性すらないかも知れません。
逆にもし、信用できない通信経路を通すのであれば、今回の脆弱性は問題になります。が、その場合は、適切な証明書・秘密鍵に置き換えれば済む話です。
> そもそも、HTTPSで通信する必要性すらないかも知れません。
ほんとこれ。ブラウザが安全でない暗号や証明書を無効にするたびに、なんたらのルーターにアクセスできなくなった証明書はファームウェアに埋め込みだから簡単にアップデートできないとか苦情が来るのマジかんべんしてほしい。なんで意味もなくHTTPS使うんだほんと。
プライベート認証局でしょ。CNが全部同じ or そもそもCN確認しない(よくわからないけど専用ソフトなんかの場合)とかもあるとかなんじゃない。
もしかして言いたいのはCA(Certificate Authority:認証局)?
CNはCommon Nameでしょ。Common Nameと解釈して読むと確かに意味不明だけど
CNが違っていて、ウェブブラウザ上では警告が表示されるけど、それを無視しても構わない、という用途に限って使うべきものなんだよ。
例えば、当該ネットワーク機器とウェブブラウザ、その間の通信経路のすべてが完全に管理下にあるクローズドな環境とかね。要するに、お試し機能以上のものじゃないんだよ。
「よくわからないけど専用ソフト」も使わないと思うね。
サーバー証明書は、☆サーバーにサーバー秘密鍵+公開用のサーバー公開鍵とCA公開鍵と中間公開鍵、 おれおれサーバー証明書の場合、サーバーにおれおれCA秘密鍵。 おれおれサーバー証明書の場合、クライアントにそれに加えておれおれCA公開鍵。☆クライアントは都度、公開用のサーバー公開鍵を使い、AESとかの鍵を交換する。 クライアント証明書(デジタルID)は、☆サーバーにCA秘密鍵、 クライアントにクライアント秘密鍵とクライアント公開鍵。☆サーバーは、クライアントに有る秘密鍵と公開鍵からのチャレンジが じぶんのCA秘密鍵で検証出来るか調べ、出来たらクライアント認証OK とする。CNは無視する事も多い。
で、デジタルIDなら秘密鍵が秘密でなくばらまかれていても、仕方ない面もあるどのあ?
なるほど、問題になっているのはクライアントデバイスが皆同じ秘密鍵のクライアント証明書を持っている場合か。KCI攻撃 [hatena.ne.jp]ライクなことをやって中間者攻撃が可能になるという話なのかな。
問題になっているのはクライアントデバイスが皆同じ秘密鍵のクライアント証明書を持っている場合か。
まったく違います。クライアント証明書とそれに対応する秘密鍵は、まったく関係ありません。サーバ証明書に対する秘密鍵が漏れることが問題になっています。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
今一つ理解が正しいか不安なんで、確認させてほしい。 (スコア:0)
「同一のHTTPS証明書」って、これはサーバー側の話だよね?
同じ証明書って、箱から出してそのまま(証明書の発行とか申請しなくても)即使える、
証明書取得済みのサーバーって売ってるの?てかそんなこと可能なの?サーバー名違うだろうに。
それとも、ここで言っている「同じ証明書」とは、中に含まれる公開鍵が同じ値って意味なのかな?
秘密鍵が固定、あるいはデフォルトの秘密鍵が用意された状態のサーバーが売られていて、
管理者が独自の鍵ペアを作らずに、デフォルトの鍵を認証局に送って証明書の発行を申請するから、
みんな中身が同じ証明書が発行されるってこと?
Re:今一つ理解が正しいか不安なんで、確認させてほしい。 (スコア:2)
同じ証明書って、箱から出してそのまま(証明書の発行とか申請しなくても)即使える、証明書取得済みのサーバーって売ってるの?
今回問題になっているのは、いわゆる普通のウェブサーバとかじゃなくて、スイッチングハブとかファイアウォールとかロードバランサとかのネットワーク機器です。
そんなネットワーク機器が売っているかどうか、という話なら、普通に売っています。
いわゆる普通のウェブサーバだと、インストール直後は証明書が存在していないか、お試し用のオレオレ証明書をランダムに生成することが多いんじゃないかと思います。
てかそんなこと可能なの?サーバー名違うだろうに。
可能か不可能か、って話で言えば可能です。
しかし、あなたの指摘の通り、正しい証明書ではありません。
なので、ブラウザでアクセスすると、警告が表示されます。
こういったネットワーク機器のHTTPS接続機能というのは、主に設定変更画面などに使われます。
そういう通信は大抵、インターネットの様な信用できない経路を通さない、というポリシで運用されています。
その限りにおいては、今回の脆弱性は、何の問題にもなりません。
そもそも、HTTPSで通信する必要性すらないかも知れません。
逆にもし、信用できない通信経路を通すのであれば、今回の脆弱性は問題になります。
が、その場合は、適切な証明書・秘密鍵に置き換えれば済む話です。
Re: (スコア:0)
> そもそも、HTTPSで通信する必要性すらないかも知れません。
ほんとこれ。ブラウザが安全でない暗号や証明書を無効にするたびに、なんたらのルーターにアクセスできなくなった証明書はファームウェアに埋め込みだから簡単にアップデートできないとか苦情が来るのマジかんべんしてほしい。なんで意味もなくHTTPS使うんだほんと。
Re: (スコア:0)
プライベート認証局でしょ。CNが全部同じ or そもそもCN確認しない(よくわからないけど専用ソフトなんかの場合)とかもあるとかなんじゃない。
Re: (スコア:0)
もしかして言いたいのはCA(Certificate Authority:認証局)?
Re: (スコア:0)
CNはCommon Nameでしょ。Common Nameと解釈して読むと確かに意味不明だけど
Re:今一つ理解が正しいか不安なんで、確認させてほしい。 (スコア:1)
CNが違っていて、ウェブブラウザ上では警告が表示されるけど、それを無視しても構わない、という用途に限って使うべきものなんだよ。
例えば、当該ネットワーク機器とウェブブラウザ、その間の通信経路のすべてが完全に管理下にあるクローズドな環境とかね。
要するに、お試し機能以上のものじゃないんだよ。
「よくわからないけど専用ソフト」も使わないと思うね。
Re: (スコア:0)
サーバー証明書は、
☆サーバーにサーバー秘密鍵+公開用のサーバー公開鍵とCA公開鍵と中間公開鍵、
おれおれサーバー証明書の場合、サーバーにおれおれCA秘密鍵。
おれおれサーバー証明書の場合、クライアントにそれに加えておれおれCA公開鍵。
☆クライアントは都度、公開用のサーバー公開鍵を使い、AESとかの鍵を交換する。
クライアント証明書(デジタルID)は、
☆サーバーにCA秘密鍵、
クライアントにクライアント秘密鍵とクライアント公開鍵。
☆サーバーは、クライアントに有る秘密鍵と公開鍵からのチャレンジが
じぶんのCA秘密鍵で検証出来るか調べ、出来たらクライアント認証OK
とする。CNは無視する事も多い。
で、デジタルIDなら秘密鍵が秘密でなくばらまかれていても、仕方ない面も
あるどのあ?
Re: (スコア:0)
なるほど、問題になっているのはクライアントデバイスが皆同じ秘密鍵のクライアント証明書を持っている場合か。
KCI攻撃 [hatena.ne.jp]ライクなことをやって中間者攻撃が可能になるという話なのかな。
Re:今一つ理解が正しいか不安なんで、確認させてほしい。 (スコア:1)
問題になっているのはクライアントデバイスが皆同じ秘密鍵のクライアント証明書を持っている場合か。
まったく違います。
クライアント証明書とそれに対応する秘密鍵は、まったく関係ありません。
サーバ証明書に対する秘密鍵が漏れることが問題になっています。