Google所有ドメイン向けの不正証明書が発行されていた 18
ストーリー by hylom
気持ちは分かるがそれはアウトです 部門より
気持ちは分かるがそれはアウトです 部門より
Motohiko 曰く、
Googleが所有する複数のドメインに対する不正な電子証明書が発行されていたことが12月3日に発見されたとのこと(Google Online Security Blog、ITmedia)。
影響するドメインはgoogle.com、youtube.com、.google.co.jpなど広範囲におよぶ。各ブラウザーベンダーは既に対応を表明しているので、更新情報には注意して欲しい。
この不正な電子証明書は、プライベートなネットワーク内で、そのネットワーク内のユーザーのGoogle関連サイトに対する暗号化通信を調査するために使われていたことが分かっているとのこと。プライベートネットワーク内で暗号化されたトラフィックをチェックしたい、という需要は企業内のファイアウォールなどで一定数あるようだ。
下位CAの内部ネットワーク? (スコア:2, 興味深い)
Mozillaのblogによると
> We believe that this MITM instance was limited to the subordinate CA’s internal network.
とのことです。
CAが自分のところの内部ネットワークの通信をのぞき見するために、わざわざ偽の証明書を発行するって、
なんというか、自由ですね。
https://blog.mozilla.org/security/2013/12/09/revoking-trust-in-one-ans... [mozilla.org]
Re: (スコア:0)
> GoogleはChromeブラウザで問題の証明書を失効させ、この証明書を発行した中間認証局を遮断する措置を講じた。
くず認証局っすなぁ、こうゆうのは信用が大事だから
一度ミスったら許してもらえないだろうね。
この中間認証局に署名してもらった他のサイトは良い迷惑だな
Google ニュース (スコア:1)
最近Google ニュース行くと警告が数十回出てたのはこれのせい?
Re: (スコア:0)
内部統制として不都合なSSL (スコア:0)
組織のプライベートネットワーク内の通信を覗くためという話ですが、
たぶんプライベートネットワーク内ではなく、外部との通信内容を覗き
見るために使われたのでしょう。
あくまで、覗き見した場所がプライベートネットワーク内だったという
だけで。
そうでなくては、Google関連のドメインが不正に使われた理由が不明。
内部統制で社員がどんな動画を見てんだ、どんなファイルをクラウドに
アップロードしてるんだ、というような検査をする場合にSSLを使われる
と内容がわかりません。
最近は内部統制はもちろん、標的型攻撃による情報盗難に対抗するため
出口対策をとっているところも多いと思いますが、そこでもSSL通信は
弊害となります。
プロキシを導入したり、FirewallでHTTPSを開けていたりするところも
多いと思いますが、標的型攻撃で送り込まれたマルウェアがSSLで外部に
情報を流すことを防ぐことが難しくなります。
ゲートウェイ型のウィルスチェックでも、SSL通信でダウンロードされる
マルウェアはチェックできません。
そのため、Webレピュテーションなどが必要になりますが、いたちごっこ。
ここで、セキュリティ対策製品で、SSLの中間攻撃と同じ手法で通信を
ぶんどるソリューションがいくつか出ています。
というか、そういう機能が無いと、もはや役には立たないでしょう。
でも、この場合は必ずしも中間攻撃するdstの証明書を偽装する必要は
ないわけですが、Googleをわざわざ不正に使ったのは内部の調査を
秘密裏に行おうとしたのではないか、と推測できます。
Re:内部統制として不都合なSSL (スコア:1)
単にhttp以外通さなきゃ良いんじゃないの?
Re: (スコア:0)
1. 社内の全てのコンピュータに、「中間者攻撃用証明書」をインストールしておく
2. プロキシサーバなり外向きのゲートウェイなりは、https通信を検出したら、中間者攻撃用証明書の元になった秘密鍵を使って、
リクエストのあった通信先の証明書をでっち上げ、その証明書で自分自身がクライアントとhttpsで通信を開始
3. ゲートウェイは本来の接続先に通常のhttpsで接続してデータをやりとり、クライアントに転送する
と、やれば、社外から見ると元通り。
社内的にも、ルータまでhttpsで保護されているので、社内のハブやらに何かを仕込んでデータを盗み出す事も出来ない。
少なくとも、https直結の場合と同じセキュリティは保てる。
唯一、ゲートウェイが乗っ取られると、全部の通信がだだ漏れだけど、
まあ、これは、通信データを総チェックしたいという要望からしてしょうがない。
Re:内部統制として不都合なSSL (スコア:1)
サーバ証明書をでっち上げるわけですから、少なくとも証明書のSubject(CN)を本物の証明書と合わせておかないとブラウザでホスト名不一致の警告が出てしまいます。(SubjectAltName拡張の場合もあり)
Googleだけ狙い撃ちにしたわけじゃなく単にあらゆるドメイン宛の通信を検閲していて、Chromeが「Googleサイトの証明書なのにGoogleの認証局(Google Internet Authority)を使っていない、おかしいぞ!?」と検知しただけなのかなと。
そのアラートが無断でGoogleにアップされるのはどうよ?という疑問はあるけど。
Re: (スコア:0)
SSL通信をぶんどるために一々ルート証明書をブラウザに入れさせなきゃいけないとかとても面倒、スマホやタブレットじゃできないのもあるし…
名前の通ったメーカーが根回しして、ちゃんとルートからたどれる中間認証局になれるファイアウォールなりをできるだけ安価に提供してくれるとありがたいのですが。
Re: (スコア:0)
Re: (スコア:0)
ちゃんとルートからたどれる中間認証局になれるファイアウォールなりを
誰がその中間認証局を署名するんだね?
そんなルート認証局は信用性無しで、ブラウザには載らないと思う
↓
SSL通信をぶんどるために一々ルート証明書をブラウザに入れさせなきゃいけないとかとても面倒
Re: (スコア:0)
末端でやるのが無理だから、今でも通信を一度メーカーにリダイレクトして検査してもらうようなサービスがあるけど、SSLもそうするしかないかもしれないですね。ヴェリサイン社やジオトラスト社がどこかと組んでそういうサービス始めたらみなさんはどうします?
Re:内部統制として不都合なSSL (スコア:1)
verisign site finder [wikipedia.org]の話題から10年経ちましたね。
10年前に半年やって猛反発の末やめたのはCAの仕事を枉げることではなくレジストラの仕事を枉げることでしたけど。
Re: (スコア:0)
その機械がハックされた場合の被害が買った人の家庭か会社内に止まるならアリでしょうけど、影響はインターネット全体に及びます。
買った人にだけ影響するようにするには、使いやすいインストーラとかで
PCやタブレットに専用の証明書を簡単にインストール出来る仕組みを用意する、ぐらいですかね。
Re: (スコア:0)
で、そのルート証明書をインストールさせなくても乗っ取りできるように中間認証局自体が偽証明書を発行したというのが今回の事件で、各ブラウザはその証明書の無効化を流す必要があったということなのじゃないですか?
もっと単純じゃないの? (スコア:0)
Googleで推し進めてるSPDYな通信を覗きたかったからじゃないの?
httpsのポート使うから普通のやり方じゃ面倒だし
証明書トラブル多いな (スコア:0)
1年前になんかあったし。DigiNator?TURKTRUST?
Fxも更新システムを用意してほしい。
Re:証明書トラブル多いな (スコア:1)
http://www.mozilla-japan.org/security/announce/2013/mfsa2013-117.html [mozilla-japan.org]
> 修正済みのバージョン: Firefox 26、Firefox ESR 24.2、Thunderbird 24.2、SeaMonkey 2.23
Mozillaではこういう場合にはブラウザそのもののアップデートで対応する。
DigiNatorやTURKTRUSTのときには定例外の緊急リリースを出した。