SSL証明書、正しく設定されているのはたった3% 42
ストーリー by hylom
なんで? 部門より
なんで? 部門より
あるAnonymous Coward 曰く、
セキュリティ企業Qualysによると、正しく設定されているSSL証明書はたった3%しかないそうだ(eSecurity Planet、本家/.より)。
Qualysは1億を超えるドメインをスキャン、その結果1240万ドメインは解決されず、1460万ドメインはレスポンスが無かったとのことで、アクティブドメインはこのうち9200万であった。アクティブドメインのうち、Port 80と443の両方でQualysのスキャンに応えたのは3400万ドメインであり、Port 443をより詳しく調べたところ、内2300万ドメインがSSLを実際に運用していた(概してPort 80はHTTPに使われ、443はHTTPSやSSL保護されたサイトに使用されている)。
SSL証明書はどのドメインに対しても発行することが可能だが、SSL証明書のドメインが接続先のドメインと一致することが最善とされている。しかしこの2300万ドメインのうち、実際にドメイン名が一致したのはたった3.17%だったとのことで、2200万以上のドメインにおいて無効なSSL証明書が使われているという結果になったとのこと。
なお、この調査結果は7月に行われるBlack Hatで正式に発表されるとのことだ。
エイリアスも調べてるんじゃないのかな (スコア:2, すばらしい洞察)
事務所にあるサーバーはSSL証明書持ってるけど、そのサーバーは
5つのドメイン名を持ってる。SSL証明書は特定のドメイン名でしか使ってない
ので問題ないけど別のドメイン名でも反応しちゃうので、このサーバーだけでも
ドメイン名の一致は20%ってことになっちゃうな。
そういうサーバーはかなり多いんで無かろうかと想像。
Re:エイリアスも調べてるんじゃないのかな (スコア:1, 参考になる)
1台のマシン(IPアドレス)に何百っていう(ネームベースの)
ヴァーチャルドメインなんて全然普通。
そいつで特定のCN用のHTTPSサーバ (顧客向けの管理画面とか)が
動いていれば、何百というドメイン名がCNに一致しないように
みえる。それ自体は何の異常ではないと思う。
BHで発表するとのことだけど、この状況を悪用するテクニックが
見つかったという話なんだろうか?
Re:エイリアスも調べてるんじゃないのかな (スコア:1)
社会工学的に、#1788815 [srad.jp]のようなことがよく起きてみんなが馴れてしまうのがSSLという仕組みにとって良くない、というところかなあ。
Re: (スコア:0)
全然詳しくないのですが、「逆引き出来ること」がSSL証明書の要件だと思っていました。
仮想ホストで複数ドメインを提供していても逆引き出来るのはそのうちの1ドメインなので、
>別のドメイン名でも反応しちゃう
っていう設定をすること自体が間違いではないのでしょうか。
違うのかな。
Re:エイリアスも調べてるんじゃないのかな (スコア:2, 参考になる)
IPアドレスの逆引きは必要ありません。SSL証明書にはホスト名が書き込まれており、クライアントは自分が接続しようとしているホスト名と証明書のホスト名が一致するか調べています。
Wikipedia日本語版のSSLのページ [wikipedia.org] には、そのへんもさらっと書いているつもりなので、興味があればご覧ください(「課題」のあたり)。
Re:エイリアスも調べてるんじゃないのかな (スコア:1)
「逆引き出来ること」がSSL証明書の要件だと思っていました。
違うんじゃない?SNIを使った名前ベースのSSL(TLS) [zdnet.com]ってのもありますよ。
Re: (スコア:0)
俺は詳しくないんで答えれませんが。
Re: (スコア:0)
最善? (スコア:1)
> SSL証明書のドメインが接続先のドメインと一致することが最善
最善て。
一致しないのもありなのか。
Re:最善? (スコア:1)
最善以外は全部悪ってことかもよ。
つまり使い物にならないと (スコア:1)
サーバー管理者側と、クライアント利用者側の双方がSSLの正しい利用法を理解していないと、SSLはきちんと機能しない。管理者と利用者の双方が正しい利用法を理解して実践している可能性を考えると・・・つまるところ使い物にならないと言う事か。
Re: (スコア:0)
Re:つまり使い物にならないと (スコア:2)
無関係でしょう
ふんぐるい むぐるうなふ (スコア:0)
たかぎせんsConnection reset by peer
$
人類の97%は馬鹿 (スコア:0)
Re: (スコア:0)
Re:人類の97%は馬鹿 (スコア:2, おもしろおかしい)
Re: (スコア:0)
Re: (スコア:0)
えーっ? (スコア:0)
最近色々と喧しいんですが
Qualysは1億を超えるドメインをスキャンって…
調査目的ならOKとかになったの?
Re: (スコア:0)
>調査目的ならOKとかになったの?
逆に何がNGだったのか知らんけど、
各サーバーに対しては数回アクセスなんだから別に良いでしょ。
Re: (スコア:0)
Re: (スコア:0)
それって… (スコア:0)
Re:それって… (スコア:1)
職場のWeb鯖でSSLの設定しようかと思ってたら何故かすでに設定されていた事があった(^^;
意図せず有効になってたとか結構あるかも。
Re: (スコア:0)
想定しないなら443なんか開けないだろ
何かの理由でHTTPSでないプロトコル(SMTPとかSSHとか?)を443で
運用しなければならないといったレアケースを除けば
Re: (スコア:0)
Re:それって… (スコア:3, 参考になる)
>なら、それはシステム設計・運用設計が腐っているだけだ。
なら具体的にどこが問題なのか教えてくれ。
以下のような設定のどこが問題?
・www.example.comとvhost.example.comを同一IPで運用している。
・SSL証明書はwww.example.comのものを使用。
・https://www.example.com で管理用のサイトに接続できる。
・https://vhost.example.com に接続しようとした場合
・SSLのレイヤでは接続が成立する。(そりゃポートが開いているから、ただし証明書を確認するとエラー。)
・証明書エラーを無視して進んでもHTTPのレイヤで403か404。
Re: (スコア:0)
>・https://vhost.example.com に接続しようとした場合
vhost.example.comが(例えば)HTTPのみでサービスするよう設計されているなら、
> ・SSLのレイヤでは接続が成立する。(そりゃポートが開いているから、ただし証明書を確認するとエラー。)
こんな接続が成立すること自体が間違い。サービスするつもりのないポートに
アクセスできてしまうのは問題だろう。IPアドレスを共有した結果このような
事態が起きるのなら、そもそもwww.example.comのIPアドレスは他と共有する
べきではない、と私は主張している。
> ・証明書エラーを無視して進んでもHTTPのレイヤで403か404。
穴は開いているけど中が空なら結果的にセーフだよね、と言っているに過ぎない。
不要な穴は極力開けないのが正しいアプローチ。
Re: (スコア:0)
> サービスするつもりのないポートにアクセスできてしまうのは問題だろう。
全然問題ない。レンタルサーバなので他のところにつながっているだけの話。安全性に関係がない。
> IPアドレスを共有した結果このような事態が起きるのなら、
> そもそもwww.example.comのIPアドレスは他と共有するべきではない、と私は主張している。
理由がない。レンタルサーバ事業の全否定であり、現実を見ていない戯言。
> 穴は開いているけど中が空なら結果的にセーフだよね、と言っているに過ぎない。
> 不要な穴は極力開けないのが正しいアプローチ。
もしかして、サーバーバージョンを隠しましょうとか言い出す、なんちゃってセキュリティ専門家の方ですか?
Re: (スコア:0)
なんか、すごく平行線な気がしてきました。
> 全然問題ない。レンタルサーバなので他のところにつながっているだけの話。安全性に関係がない。
> 理由がない。レンタルサーバ事業の全否定であり、現実を見ていない戯言。
たとえ実害がなくても他のところにつながること自体が問題だ、と言っているのですが、
「実害がないのだから問題ない」「レンタルサーバ業者がそうしているのだから問題ない」
とおっしゃるのでしたら、たぶん私たちは分かり合えないと思います。
「実害がない」のと「実害が起こり得ない」のは全く別のことで、私は後者を目指すべきだと
考えていますが、他の
Re: (スコア:0)
> # なおさら悪い、と言われそう
なるほど、なおさら悪いです。
あなたが問題だと主張していることは、セキュリティ的に、何ら問題ありません。
Re: (スコア:0)
分かりました。
正直、あなたが「何ら問題ない」という理由が私にはまだ理解できていない
のですが、それは私が不勉強なため、と結論づけることにします。
お手間を取らせました。
Re: (スコア:0)
証明書エラーを無視して進んだらログイン画面だった。これって問題?
#いや、さっき見つけてしまったんで。
Re: (スコア:0)
証明書エラーを無視して進んだ時点であなたの自己責任であり、他の誰にも問題はありません。
証明書エラーを無視して進む必要がないのですから。(サイト運営者が想定していないアクセスなので。)
Re:それって… (スコア:1)
自前のIPアドレスを確保出来たサイトがhttpsを提供していて、それにぶら下がっているhttpsを必要としないサイトがバーチャルホストを使っているんだから、問題はそれほど無いのでは?
Re: (スコア:0)
アパートで、どの部屋も同じ入り口から入って
・別の部屋の前に立つことが出来る←セキュリティ問題だ!
・部屋の前に立っているので当然鍵穴に鍵を挿すことができる状態である(鍵は全然違う鍵だけど)←セキュリティ問題だ!
ってことか
馬鹿馬鹿しい (スコア:0)
この糞企業には仕事を頼まない方がいいということだけはわかった。
Re:馬鹿馬鹿しい (スコア:2)
この調査結果は杓子定規すぎるきらいは有りますが、QualysのSSLサーバテストはよくできていると思いますよ
https://www.ssllabs.com/ssldb/index.html [ssllabs.com]
Re: (スコア:0)
どうした?恨みでもあんのか?