Firefox、一部のウイルス対策製品の影響でSHA-1対応を一時的に復活 7
ストーリー by hylom
そんな落とし穴が 部門より
そんな落とし穴が 部門より
Firefox 43で1月1日よりSHA-1を使って署名された新規の証明書のサポートが中止された。しかし、これによって「中間者攻撃的な挙動を行うデバイス」を利用しているユーザーがHTTPSを利用できない状況になったことから、Firefox 43.0.4では一時的にSHA-1を利用する証明書のサポートを復活させることにしたという(ITmedia、Mozilla Security Blog)。
いくつかのセキュリティソフトやウイルス対策ソフトなどが「中間者攻撃的な挙動を行うデバイス」に含まれる模様。こういったソフトウェアはHTTPSで保護された通信内容にアクセスするために独自に作成した証明書を利用するが、その証明書がSHA-1を利用している場合問題が発生するという。
セキュリティベンダーが脆弱性を生む (スコア:0)
最新ブラウザに対応してないセキュリティベンダーがブラウザをダウングレードしろと言ったり、SHA-1の証明書で「中間者攻撃的な挙動」してやっぱりユーザーがブラウザを旧バージョンにもどしちゃったり・・・足引っ張ってばか。
Re:セキュリティベンダーが脆弱性を生む (スコア:1)
だいじょーぶ。
そういう製品を使うネットワークなら、FireFoxがその製品を経由せずに外部のサーバと通信するはずがない。
FireFoxから外部へのhttpsは、2つに分割されて、
インターネット上のサーバ←[A]→セキュリティ対策のやつ←[B]→FireFox
こう繋がるわけで、「FireFoxがSHA-1を受け付けるように設定変更」した場合の弱体化は、[B]の部分、
FireFoxからクライアント端末、セキュリティ製品まで導入された意識の高いLANを経由して、セキュリティ製品までのみ。
外部と通信通信する[A]の部分は、FireFoxの設定とは無関係。
そして、セキュリティベンダがSHA-1なんかを使うはずが無いので、[A]において外部との通信にSHA-1が使われるはずがない。証明終了。
# あれ?
Re: (スコア:0)
> 意識の高いLAN
「意識高い系セキュリティ」という言葉がふと思いついた。
Re: (スコア:0)
スタバで見せ付けるようにMac広げて社内文書全開で仕事するんですね
Re: (スコア:0)
教科書にも出そうな本末転倒。
どう考えても、セキュリティベンダ側の問題で、その対応に時間がかかるというのならセキュリティベンダとしての資格がないんじゃないかという話。
Re: (スコア:0)
具体的なセキュリティソフトの名前を出さないのは大人の事情でしょうか
大手ベンダーは皆やってるの?
お正月にディスク交換も兼ねて環境再構築したらタレコミ文の現象が発生しました
他のOS標準ブラウザ等では問題ないってことは気づかないってことですかい
Re: (スコア:0)
他のベンダーのSHA-1廃止スケジュールを全く調べようともせずにそんなこと言われてもな