パスワードを忘れた? アカウント作成
310877 story
セキュリティ

クラックされた認証局から偽のSSL証明書が発行される 22

ストーリー by hylom
影響の大きそうなドメインばっかりなんですが 部門より

あるAnonymous Coward 曰く、

SSL認証局のComodo Groupがアカウント情報を入手した何者かの仕業により、偽のSSL証明書9件を発行してしまったそうだ(ITmedia記事)。Comodoで証明書発行の申請を審査しているアカウント情報が盗まれ、それによって偽証明書が発行された模様。

影響を受けるのは、Hotmailのログインに使われている「login.live.com」のほか、Googleの「mail.google.com」「www.google.com」、Yahoo!の「login.yahoo.com」(3件の証明書が関連)、Skypeの「login.skype.com」、Firefoxアドオン用の「addons.mozilla.org」、および「Global Trustee」の各ドメイン。

FirefoxとWindowsには問題の証明書をブロックできるアップデートが既にリリースされているので、可及的速やかに適用したい。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2011年03月25日 2時24分 (#1925018)

    Comodoは以前も似たような事件を起こしているし、CAとしてはかなり問題があると思います。
     Comodo CAがサーバ証明書を関係のない第三者に発行、大問題に [srad.jp]
    直接的にはリセラーだかパートナーだかがやらかした問題なのかもしれないけど、不正発行を最終的に防止する義務があるのは CA のはず。
    対象の証明書を無効化してオシマイにすべき話ではないでしょう。
    ComodoのRootCA証明書を信頼済み証明書リストから削除してもいいくらいだと思います。

  • by tadikarawo (35287) <a3172946@jnxjn.com> on 2011年03月24日 19時08分 (#1924847)
    は対策済みくらい書いて置いといてくれりゃいいのに。
  • by Anonymous Coward on 2011年03月25日 9時02分 (#1925062)

    この証明書は偽物でなく本物なのじゃないの?

    本物の証明書が不正な手段によって取得されたというのが問題でしょ?

    • 偽の証明書というと, いわゆるオレオレ認証で, 正規に登録されていない認証局で発行された証明書が使われるってことですよね. この場合, 最近のブラウザなんかだと正規の認証局が発行した証明書じゃないと警告が出る(にもかかわらず信用しちゃったりする人も多い)けど, 今回の場合は本物の証明書だから警告が出ないということですよね.

      親コメント
  • 中国みたいな金盾(のようなもの)完備の国だと、こうやって入手した証明書を使ってSSLを検閲し放題だよねー、

    って誰かが書いてたのを見て目から鱗だった。

    • by Anonymous Coward
      タダの証明書ではなくて、「他の証明書を署名する権限付きの証明書(の秘密鍵)」じゃないとダメですね。
      その場合も証明書のパスが変なことになるので(Comodoが証明する~があり、googleのSSLが~により証明されている状態、等)ユーザからすれば確認可能な状態が維持されます。

      証明書のパスをごまかすには、ユーザ側に攻撃者の証明書を受け入れさせておくかユーザが受け入れている証明書の秘密鍵を強奪する必要があるので現実的ではありません。

      尤も一々確認する人は少ないでしょうし、署名する権限さえ手に入れてしまえば十分脅威ではありますが…
  • by Anonymous Coward on 2011年03月24日 19時34分 (#1924864)
    これがベリサインだったら・・・を考えると、社会的責任が大きすぎる気が。
  • by Anonymous Coward on 2011年03月24日 19時47分 (#1924870)

    当然 CRL にも入っているので、モダンなブラウザは大丈夫なはずなんですけど、
    w3m とか Safari とか 携帯電話のブラウザはどうなんでしょうねえ。

    • Re:CRL (スコア:4, 参考になる)

      by doda (31157) on 2011年03月24日 20時21分 (#1924883) 日記

      IE の場合、デフォルトの設定だと"インターネットオプション"の"詳細設定"の"セキュリティ"にある"サーバの証明書失効を確認する"が off になっていませんか?
      これって、デフォルトでは CRL を確認しないって事ですよね。

      あと Opera は CRL を見ないって話を聞いた事があります。
      でも OCSP [wikipedia.org] に対応していてデフォルトで有効になっているので、大丈夫なのかな?
      # Opera 11.01 の opera:config で有効になっているのを確認

      親コメント
      • Re:CRL (スコア:4, 参考になる)

        by Anonymous Coward on 2011年03月24日 21時04分 (#1924905)
        Windows XPでは既定無効になっているのですが、Windows Vistaから既定有効になっています。
        CRL以外にOCSP検証もWindows VistaのInternet Explorer 7から既定で有効になっています。
        親コメント
      • by dark_green (28724) on 2011年03月24日 20時38分 (#1924895) 日記
        いわれてみて確認したらウチもチェック入ってなかった
        (WindowsXP IE8)

        # ついでにFirefoxを4にしてみた
        親コメント
      • by Anonymous Coward

        7はデフォルトONです。おそらくVistaから。>サーバの証明書失効を確認する

        • by pineroot (2890) on 2011年03月25日 12時35分 (#1925183) ホームページ

          7だけどオフになってた。オフにした覚えはないけど。

          親コメント
          • by Anonymous Coward
            IEのバージョンじゃなくてWindowsのバージョンに依存します。Windows XPならIE7だろうがIE8だろうがデフォルト無効です。親コメントはちょっと不正確ですね。
  • by Anonymous Coward on 2011年03月25日 0時24分 (#1924982)

    最近の社会的トラブル続きで全然気が付いていない所に
    何故か突然に事前の予告も無いWidowsUpdateやFireFoxのUpdate通知
    こんなヤバイネタだったとは…
    職場ではgmailとかyahooとかはFWで元々塞いでいるけどaddonはどうだったろう?
    # 安否確認で初めてgmailアカウントを作ったAC

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...