パスワードを忘れた? アカウント作成
233933 story
セキュリティ

SSL証明書、正しく設定されているのはたった3% 42

ストーリー by hylom
なんで? 部門より

あるAnonymous Coward 曰く、

セキュリティ企業Qualysによると、正しく設定されているSSL証明書はたった3%しかないそうだ(eSecurity Planet本家/.より)。

Qualysは1億を超えるドメインをスキャン、その結果1240万ドメインは解決されず、1460万ドメインはレスポンスが無かったとのことで、アクティブドメインはこのうち9200万であった。アクティブドメインのうち、Port 80と443の両方でQualysのスキャンに応えたのは3400万ドメインであり、Port 443をより詳しく調べたところ、内2300万ドメインがSSLを実際に運用していた(概してPort 80はHTTPに使われ、443はHTTPSやSSL保護されたサイトに使用されている)。

SSL証明書はどのドメインに対しても発行することが可能だが、SSL証明書のドメインが接続先のドメインと一致することが最善とされている。しかしこの2300万ドメインのうち、実際にドメイン名が一致したのはたった3.17%だったとのことで、2200万以上のドメインにおいて無効なSSL証明書が使われているという結果になったとのこと。

なお、この調査結果は7月に行われるBlack Hatで正式に発表されるとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2010年07月01日 20時01分 (#1788663)

    事務所にあるサーバーはSSL証明書持ってるけど、そのサーバーは
    5つのドメイン名を持ってる。SSL証明書は特定のドメイン名でしか使ってない
    ので問題ないけど別のドメイン名でも反応しちゃうので、このサーバーだけでも
    ドメイン名の一致は20%ってことになっちゃうな。
    そういうサーバーはかなり多いんで無かろうかと想像。

    • by Anonymous Coward on 2010年07月01日 23時15分 (#1788748)
      だよなぁ……本家でも指摘があるけど、Webホスティング業者なら
      1台のマシン(IPアドレス)に何百っていう(ネームベースの)
      ヴァーチャルドメインなんて全然普通。
      そいつで特定のCN用のHTTPSサーバ (顧客向けの管理画面とか)が
      動いていれば、何百というドメイン名がCNに一致しないように
      みえる。それ自体は何の異常ではないと思う。

      BHで発表するとのことだけど、この状況を悪用するテクニックが
      見つかったという話なんだろうか?
      親コメント
    • by Anonymous Coward

      全然詳しくないのですが、「逆引き出来ること」がSSL証明書の要件だと思っていました。
      仮想ホストで複数ドメインを提供していても逆引き出来るのはそのうちの1ドメインなので、

      >別のドメイン名でも反応しちゃう

      っていう設定をすること自体が間違いではないのでしょうか。
      違うのかな。

  • by xim2_jp (40410) on 2010年07月01日 23時12分 (#1788747)

    > SSL証明書のドメインが接続先のドメインと一致することが最善

    最善て。
    一致しないのもありなのか。

  • サーバー管理者側と、クライアント利用者側の双方がSSLの正しい利用法を理解していないと、SSLはきちんと機能しない。管理者と利用者の双方が正しい利用法を理解して実践している可能性を考えると・・・つまるところ使い物にならないと言う事か。

  • by Anonymous Coward on 2010年07月01日 19時41分 (#1788653)

    たかぎせんsConnection reset by peer
    $

  • by Anonymous Coward on 2010年07月01日 19時42分 (#1788654)
    馬鹿が世界を悪くしている
    • by Anonymous Coward
      だが、しかし、馬鹿抜きに世界を支えるには難しい。
      • Re:人類の97%は馬鹿 (スコア:2, おもしろおかしい)

        by Anonymous Coward on 2010年07月01日 22時26分 (#1788713)
        馬鹿を抜いても残された賢者のうち97%が再び馬鹿となる法則
        親コメント
        • by Anonymous Coward
          魔法使いからほんの一時、賢者になれることももあります!
      • by Anonymous Coward
        なぜなら、人類の97%は馬鹿だから
  • by Anonymous Coward on 2010年07月01日 19時48分 (#1788656)

    最近色々と喧しいんですが
    Qualysは1億を超えるドメインをスキャンって…
    調査目的ならOKとかになったの?

    • by Anonymous Coward

      >調査目的ならOKとかになったの?
      逆に何がNGだったのか知らんけど、
      各サーバーに対しては数回アクセスなんだから別に良いでしょ。

    • by Anonymous Coward
      毎日スラド他多数のWebサイトの80/tcp,443/tcpをFXでスキャンしてるが叱られるんだろうか・・・気をつけねば。
    • by Anonymous Coward
      サーバー落とさなきゃいいんじゃないの。すぐ落ちるようなサーバでも落としたほうが悪い。
  • by Anonymous Coward on 2010年07月01日 21時33分 (#1788693)
    単にサイト側がSSLで接続されることを想定していないだけでは?
    • 職場のWeb鯖でSSLの設定しようかと思ってたら何故かすでに設定されていた事があった(^^;
      意図せず有効になってたとか結構あるかも。

      親コメント
    • by Anonymous Coward

      想定しないなら443なんか開けないだろ
      何かの理由でHTTPSでないプロトコル(SMTPとかSSHとか?)を443で
      運用しなければならないといったレアケースを除けば

      • by Anonymous Coward
        君はバーチャルホストとか知らないのか?
  • by Anonymous Coward on 2010年07月01日 22時47分 (#1788728)
    > セキュリティ企業Qualys
    この糞企業には仕事を頼まない方がいいということだけはわかった。
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...