パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Let's Encrypt、ルート証明書切り替えに向けて古いAndroidへの対策を呼びかけ」記事へのコメント

    • androidって全機種でルート証明書インストール可能なのかな?

      昔オレオレ証明書を入れようとしてどうしても成功しなかった記憶がある
      Gingerbread/HoneycombかICSの頃の話だけど。

      • by Anonymous Coward

        前回のストーリーで既出のやりとり。

        端末側の証明書を更新すれば? (#3868695) | Let's Encrypt証明書を使用しているWebサイト、Android 7.1以前の端末での閲覧に影響か | スラド [srad.jp]

        システムのルート証明書ストアとユーザのルート証明書ストアに分かれていて、後者はroot権限なくても自由にインストール可能。
        ただし、画面ロック「なし」「スワイプ」との両立ができないという訳のわからない仕様。あと起動時に毎回警告が出るようになる。
        現実的にはGoogle Play開発者サービス側でシステムの証明書を自動更新するしかないと思うし、そうすべきだと思う。

        • by Anonymous Coward

          ただし、画面ロック「なし」「スワイプ」との両立ができないという訳のわからない仕様。あと起動時に毎回警告が出るようになる。

          ルート証明書をインストールすれば、例えば、自宅内に全ての通信を中継するプロキシサーバ的なものをたてて、大手メールサービスのサーバになりしまして本物と中継することができてしまう。
          つまりは、息子・娘・配偶者のメール等のやり取りを監視することだってできてしまうのだよ。

          ロック無しのスマホだったら勝手に第三者がX.509ルート証明書をインストールできてしまうでしょ。
          だから、ロック無しのスマホにはそもそも独自のルート証明書をインストールできないようにするのが正解。
          警告が出るようにするのも、万が一PINの盗み見などで不正にルート証明書を第三者がインストールした場合に知ることができるために必要。

          この必要性が理解できないような人は、ルート証明書のインストールなんて危険なことはしない方が良い。
          偽サイトから偽のルート証明書をインストールしかねない。

          • by Anonymous Coward on 2020年11月09日 10時57分 (#3920729)

            ロック無しのスマホだったら勝手に第三者がX.509ルート証明書をインストールできてしまうでしょ。

            ↑これは真

            だから、ロック無しのスマホにはそもそも独自のルート証明書をインストールできないようにするのが正解。

            ↑これは偽

            この叙述トリックをモデレータが見破れずに #3920626 が (スコア:4, 参考になる) となっているのが悲しい。
            ロック無しのスマホに独自のルート証明書をインストールできないようにしたところで、第三者は勝手にロックを設定して独自のルート証明書をインストールできてしまうので、そもそも対策になっていない
            (厳密には、次回ロックされた場合に本来の利用者が解除できず被害の拡大を防げることもあるけど、それについても抜け道があったりするので割愛)
            第三者が勝手にルート証明書を閲覧したりアンインストールしてしまうことが防げるだけ。そこには何の意味もない。

            親コメント
            • by Anonymous Coward

              > 第三者は勝手にロックを設定して
              それ、本来の持ち主はどうやってロック解除するんです?
              勝手にMITM用証明書を追加したところで本人が使えなくなったら
              警告出てバレる云々以前の問題じゃないか。
              この揚げ足取りが(スコア:2, 参考になる)になってる方が憂鬱なんだが。

              まぁロックされて無いパスワードを回収する手段として、
              MITMが一番手っ取り早いってアプリもあるかも知れんが……
              オフライン攻撃困難な癖にTLSの中では生パスワード垂れ流し、ねぇ……?

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...