パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Let's Encryptの証明書、不正広告攻撃に悪用される」記事へのコメント

  • ISRG エグゼクティブ・ディレクターのJosh Aas氏はこういった事態が発生することを予め想定しており、Let's Encrypt のオープンベータ開始から1ヶ月以上前に フィッシング詐欺やマルウェアとの戦いにおける認証局の役割 [letsencrypt.jp](原文は The CA's Role in Fighting Phishing and Malware [letsencrypt.org])というブログ記事を書いてます。

    長いので要約すると、

    • 詐欺サイトに対しても平等にDV証明書を発行して良いという考え方もあるし、そうすべきではないという考え方もあるよね。色々な意見があることは承知している。
    • 技術的な観点からすると、DV証明書は公開鍵がそのドメインに属することを明白にしているに過ぎず、サイトのコンテンツの内容や運営者が誰であるかについては一切言及していない。
    • でも、アンチフィッシングやアンチマルウェアの働きをしたり、広くコンテンツを取り締まったりする立場にない。そもそも、認証局には、Webサイトのコンテンツを継続してチェックする能力がない。
    • Webページ固有のフィッシング詐欺やマルウェアの有無に関するステータスの表示機能は、ブラウザのUIに組み込まれているんだから、それで良いのでは? ブラウザの機能ならなぜブロックしたのかといった情報を適切に表示したりできるし、ブラウザに任せた方が良い。
    • 哲学的な観点・道徳的な観点からすると、認証局がネット上の言論や存在の門番となってしまったら、認証局のミス(悪意のないミスやそれ以外のミス)が検閲となってしまう。これは、おそらく、認証局の役割としては適切ではない。
    • Let's Encryptが、フィッシング詐欺サイトやマルウェア配布サイトであるかどうかのステータスを(Google のセーフブラウジングAPIで)チェックするのは、DV証明書の場合でさえ、認証局が完全にアンチフィッシングとアンチマルウェアの努力を放棄することに、多くの人たちがまだ慣れていないから。

    といった感じ。

    ちなみに、Let's Encrypt が証明書取得時に参照している Google のセーフブラウジングAPIは誤検出が極めて多く、それに対する対応も不十分(人件費をケチっていて誤検出のクレームに対応する人間が殆どいないと思われる)で、Webサイト所有者がクレームを送っても放置されることが日常茶飯事です。

    ベクターなんかは長期的に誤検出されて大きなダメージを受けた [impress.co.jp]し、「security.srad.jp」が誤検出されていた時期もありました。

    Google セーフブラウジングAPIは、Google Chrome や Firefox で標準で有効となっており誤検出≒検閲 となるのですから、技術的に自動判定の誤検出がやむを得ないとしても、Webサイト所有者からのクレームに迅速に対応すべきだと思います。それがコスト的にできないのであれば、無責任に検閲となるようなAPIを提供すべきではないと思います。特に Google は営利企業で、Google Chrome は自社の広告収益増加のために自社サービスへの誘導を目的に配布しているようなものですから、無責任な対応は非難されるべきです。

    DV証明書というのは、単に通信が暗号化されていることと、当該ドメイン名の所有者と通信を行っていることを証明するものなのですから、フィッシングやらマルウェアやらの対応をさせるのはお門違いだと思います。そういったことをするのは、セキュリティ対策ソフトの役目なので、証明書発行時の Google セーフブラウジングAPIのチェックも止めて良いと思います。

    大手CAが誤認させるような宣伝をして証明書を販売していた時期があった影響か、未だに SSL/TLS による暗号化が行われている = 安全なWebサイト といった誤解をしている人がいますが、それが間違いであることは明白です。

    • しいていえば、DV、OV、EVという分類以外にWeb、メール、コード署名みたい分類の1つとして、本体Webのみ用みたいなサブ区分があればいいのかなと思う。

      このタイプならたとえば、元ページ以外の埋め込みの外部ドメインならNGになる、とかなら比較的問題を減らせると思うんだが、どうだろう。

      # というか、トラッフィック負担とか安全性保障を考えると、信頼できる広告会社のEV以外は弾きたい所

      --
      M-FalconSky (暑いか寒い)
      親コメント
    • 批判する側はLet's Encryptが想定した範囲内だと理解したうえで問題視しているわけで、Let's Encrypt側の想定の範囲内だから「問題視すべきではない」ということもないでしょう。
      親コメント
    • by Anonymous Coward

      証明書の件については「そもそもDV証明書を過度に信頼するユーザが間違ってる」って論なのに、
      GoogleのセーフブラウジングAPIについては「Googleが悪い」って言ってるのがちょっと、筋が通ってないんじゃないかと思う。

      DV証明書のような「仕様に基づく限界をユーザは理解しなければならない」という考えをベースにするスタンスなら、
      Googleセーフブラウジングだって、Googleはユーザになにも保証してないのだから、過度に信頼するユーザが悪い。

      逆に、企業にはそれなりに責任って物がある、というスタンスでいうなら、
      一般ユーザの、SSL証明書に対する過度な信頼は大手CA局のせいであって、
      DV証明書に本来の技術で対応できる以上の信頼を寄せてしまう一般ユーザは何も悪くない。

      • DV証明書のような「仕様に基づく限界をユーザは理解しなければならない」という考えをベースにするスタンスなら、
        Googleセーフブラウジングだって、Googleはユーザになにも保証してないのだから、過度に信頼するユーザが悪い。

        Google セーフブラウジングAPIの「誤検出」というのは、Google セーフブラウジングAPIを採用しているブラウザのユーザーが不利益を受けるだけでなく、Webサイトのオーナーに冤罪をふっかることになります。意図してそのサービスを利用しているユーザー以外のWebサイトオーナーが不利益を受け、事実上の検閲になり得るので、誤検出≒冤罪への対応が不十分な Google が悪いと考えています。

        また、DV証明書は悪質なサイトでないことを証明するものではないので悪質なサイトに対処する必要はありませんが、Google セーフブラウジングAPIはマルウェアやフィッシングを検出するための機能なので、誤検出を迅速に修正するのは本来の業務の範囲であるべきです。仮に、誤検出をしてしまうまでは仕方ないとしても、誤検出に対するクレームにまともに人間が対応する窓口が無いのは問題です。

        一般ユーザの、SSL証明書に対する過度な信頼は大手CA局のせいであって、
        DV証明書に本来の技術で対応できる以上の信頼を寄せてしまう一般ユーザは何も悪くない。

        確かに、おっしゃる通り、諸悪の根源は「一般ユーザー」ではなく、(EV証明書ができる前の)過去の大手認証局の宣伝だと思います。

        # DV証明書に過剰な信頼を寄せることはユーザーにとって不利益(皮肉なことにも EV証明書を高額で売りたい今現在の大手認証局にとっても不利益)なので、誤った認識は修正されるべきですが。

        親コメント
        • by Anonymous Coward on 2016年01月11日 15時13分 (#2947522)

          EV証明書にしても登記簿や戸籍みたいなものですよね。
          その組織の実在を証明するのが目的であって、善良か悪徳かについては何も言っていない。
          DV証明書に至っては、トイレのドアをノックしてノックが返ってきたら、その個室に人がいる程度の事しか分からない。
          いずれにせよ、その相手を信用するかどうかはユーザーが自分で判断する以外にない。当たり前の話ですね。

          親コメント
      • by Anonymous Coward

        元コメに対して、ユーザに責任転嫁してGoogleを弁護するのは、さすがに無理があるだろ。

        単に手続きに従って発行しているだけの証明書と、積極的なネット検閲であるGoogle Safe Browsingは同列には扱えない。
        この件でLet's Encryptには何の瑕疵もないが、合法なサイトを誤判定して閲覧を妨げ、サイトに損害を与えるのは、Googleに瑕疵がある。
        そりゃ技術的にはオフにできるけど、ChromeとFirefoxでデフォルトで適用されており、
        誤判定のリスクもオフにする方法も明確に表示されていない状態で、「ユーザの選択だ」というのは、
        サービス提供業者の肩を持ち過ぎだ。

    • by Anonymous Coward

      犯罪者やテロリストを取り締まるのはソフトウェアランセンスではないって考え方と似てますね。
      感情的に許せない人が多そうなのも似てる。

    • by Anonymous Coward

      >DV証明書というのは、単に通信が暗号化されていることと、当該ドメイン名の所有者と通信を行っていることを証明するものなのですから、
      それなら認証局である必要ないだろ。オレオレ証明書と変わらん。

      認証局ってのは最初からドメインがある程度信用できる事を確信した上で証明書を発行することを前提に仕様が組まれてるんだよ・

      • by Anonymous Coward

        > 認証局ってのは最初からドメインがある程度信用できる事を確信した上で証明書を発行することを前提に仕様が組まれてるんだよ・

        ドメインで何をやっているかなんて、考慮せずに証明書は発行されます。
        ぶっちゃけ、管理者ユーザに届くメールアドレスがあって、証明書の発行手数料を支払ってもらえれば
        証明書は発行されます。

        認証局で発行された証明書とおれおれ証明書の違いは、発行した証明書の正当性が、第三者によって保証されるか否かだけです。
        おれおれ証明書を使ってサイトを運営しても、セキュリティは低下しません。
        ただ、証明書が改ざんされていないことや、秘密鍵が漏洩されていないことを自ら保証しないといけませんがね。

    • by Anonymous Coward

      Google叩こうとしてるロジックがAppleの完全否定になってるってことだけはわかった

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

処理中...