Browser makers Apple, Google, Microsoft, and Mozilla, have banned today a root certificate that was being used by the Kazakhstan government to intercept and decrypt HTTPS traffic for residents in the country's capital, the city of Nur-Sultan (formerly Astana).
arstechnia:
All four of the companies’ browsers recently received updates that block a root certificate the government has been requiring some citizens to install.
MacRumors:
Apple and the other browser makers on Friday acted in unison to ban the certificate, accordin
「信頼済み証明書」に信頼できない証明書が混入していることのリスク (スコア:1)
意外と気付いてない人が多い気がするんだけど、マジで危険なので。
企業のPCでオンプレAD発行の「オレオレ証明書」とか使って「SSL通信の監査」やってる実装とか知ってれば
明らかに危険なことくらい理解できるだろうにね。
クリティカルな情報を送信する際には端末側のブラウザで証明書の「発行元」を確認することは必須。
ややこしい手順でもいいから確認したいと思っても、手段自体を封じてるiPhoneは困った話。
以前はiPhoneでもChrome使えば確認できたはずなんだけど、いつの間にか見れなくされてるし。
Re:「信頼済み証明書」に信頼できない証明書が混入していることのリスク (スコア:2)
iPhoneのデフォルトインストール済み証明書の一覧はコチラ
https://support.apple.com/ja-jp/HT204132 [apple.com]
自分でインストールしたものは、設定アプリの
「一般」→「情報」→「証明書信頼設定」
で確認でき、有効/無効を設定できる。デフォルトは無効になっている。
https://support.apple.com/ja-jp/HT204477 [apple.com]
Re:「信頼済み証明書」に信頼できない証明書が混入していることのリスク (スコア:1)
そうではなくて、元コメの言いたいことは、今まさに見ようとしているサイトの証明書が、どの認証局から発行されているかってことだろ。
「こんなサイトに証明書を発行しているこの認証局は、気が狂っているか、クラッキングされているのかもしれない」などと考える役に立つ。
本当は、OSデフォルトの認証局に対しても「こいつは信用しない」などと設定できるべきだが、iPhoneはできない。
Re:「信頼済み証明書」に信頼できない証明書が混入していることのリスク (スコア:2)
本当は銀行の窓口へ行ってルート証明書をフロッピーディスク💾で受け取り、ネットバンキングサイトのサーバがそのルート証明書で署名された署名を送ってきて通信を暗号化していることを確認すべきってことですよね、わかります。
Re: (スコア:0)
さすがにそこは、CD-Rでもいいです。
窓口の近所に住んでる人が証明書をもらってきて、そいつがちゃんと確認して、そいつをオフラインで信用できるなら、トラスト チェーンになる。
Re: (スコア:0)
本人以外が知っていることのありえない4桁暗証番号で十分なのでは?
Re:「信頼済み証明書」に信頼できない証明書が混入していることのリスク (スコア:2)
公開鍵基盤についてざっくり復習してもろて。
Re: (スコア:0)
入力された暗証番号を全部成功にすれば簡単に騙せますね。
Re: (スコア:0)
> 今まさに見ようとしているサイトの証明書が、どの認証局から発行されているか
今まさに見ようとしているサイトの証明書が、どの認証局で署名されているか
ってこと?認証局は証明書を発行しないよ
Re: (スコア:0)
どの認証局から生成されているか、てなとこだな。気持ちはわかる。
Re: (スコア:0)
Issuer って発行元以外にどう訳したらいい?
Re: (スコア:0)
WoSignとかマジでブロックしたいよね。
っていうか、信頼しないとネットが使い物にならないVerisign系とAmazonやGoogleを除いて全部消したい。
https://support.apple.com/ja-jp/HT209144 [apple.com]
Re: (スコア:0)
追加も削除も、確認もできないってことは、結局オモチャってこと。
漢は黙ってMac.
Re: (スコア:0)
MACのキーチェーンも、いじれるように(パスワード既知に)
するには、今までの設定をリセットしないといけないし、
設定した鍵を信頼するとしても(そうしないと何十回も
パスワードを聞いて来る)、いつの間にかに設定が解けて
訳が分からなくなる
ので、どうやったら黙って使えるのか、秘訣とかあるので
しょうかね?
Re: (スコア:0)
結局、デバイスを信頼してくださいってセキュリティモデルのモバイルが、(Appleの)作でさえおもちゃってこと。
時にはデバイスを、己(オペレータ)さえ疑ってみるってのは大事だ。開発者には当然のことだが。。
Re: (スコア:0)
とは言うてもなぁ。
イントラオンプレ環境に手軽にSSL導入できる仕組みがこれしか無いのよ
Re: (スコア:0)
Let's Encryptのワイルドカード証明書でも使ったら?
Re: (スコア:0)
普通サーバ証明書でいいよね。なんで認証局証明書を入れさせようとするの?悪いことしようとしているのバレバレなんですが。
まだ開始してない (スコア:0)
Firefoxでもまだステージングサーバーに配信されてテストが可能になったに過ぎないし、他社の動向に至ってはMozillaが勝手に言ってるだけ。むしろ他社にプレッシャー掛けるのが目的じゃないの。"will"くらい翻訳できて。
Re: (スコア:0)
学がないので英語は分かりませんが、コメントする前に CRLSet と disallowedcert.stl を確認したらどうですか?
Re: (スコア:0)
なぜWindows限定の話でクラクラするのかわかりませんが、Microsoftの対応を確認するにはWindowsを調べるほかないのでは?
というかセキュリティ専門家でWindowsのことを確認しないってことあるんですか?
disallowedcert.sstに含まれる「Information Security Certification Authority CA」というのが該当の証明書です。
詳細を見ると発行者がKZから始まっているのがわかります。
Re: (スコア:0)
クレクレするの間違いでは?w
Re: (スコア:0)
ソースを読む限り、もう失効されたのでは?
ZDNet:
Browser makers Apple, Google, Microsoft, and Mozilla, have banned today a root certificate that was being used by the Kazakhstan government to intercept and decrypt HTTPS traffic for residents in the country's capital, the city of Nur-Sultan (formerly Astana).
arstechnia:
All four of the companies’ browsers recently received updates that block a root certificate the government has been requiring some citizens to install.
MacRumors:
Apple and the other browser makers on Friday acted in unison to ban the certificate, accordin
Re: (スコア:0)
OSやブラウザのベンダはその手の検閲にも否定的。
アップデートでだいたい妨害する機能を入れてくる。
未だにIE強制する企業が多い事情の1つ。EdgeやChromeではフォームの内容とか取れない。
Re: (スコア:0)
国民主権の考え方に基づくなら、国民の意思に反する検閲は悪。国民が治安のために良しとするなら善。
サイバー訓練と称して検閲の事実を告げずにルート証明書を入れさせようとするのは問題外では。
ソースを辿っていくとMozillaの中の人たちがカザフスタン政府の証明書をブロックすべきか議論している長いスレッドがあるので読めば答えが見つかるかもしれませんね。
企業が従業員の通信を盗聴する為に証明書を入れさせるのと原理的には同じという認識はあるみたいですよ。
https://groups.google.com/g/mozilla.dev.security.policy/c/wnuKAhACo3E/... [google.com]
Re: (スコア:0)
カザフスタンは独裁国家だが。国民主権とは
Re: (スコア:0)
カザフスタン政府と同じことを商売にしている奴が、マイナスモデをつけたなw