パスワードを忘れた? アカウント作成
12905020 story
セキュリティ

中国大手SSL認証局で不正に証明書を取得できてしまう問題が明らかに 11

ストーリー by hylom
ミスが発端であるものの 部門より
insiderman 曰く、

無料でマルチドメイン対応のSSL証明書を発行してくれるとして一部で話題になっていた中国の認証局「WoSign」で、サブドメインに紐付けられているサーバーの管理権限があれば、そのメインのドメインに対するSSL証明書も取得できてしまうという問題が明らかになっている。たとえばgithub.ioでは、利用者に対し<プロジェクト名/ユーザー名>.github.ioや<プロジェクト名/ユーザー名>.github.comというドメインを提供しているが、これを悪用することでgithub.ioやgithub.comに対するSSL証明書も取得できてしまうことになる(GIGAZINESchrauger.comChinese CA WoSign faces revocation after possibly issuing fake certificates of Github, Microsoft and Alibaba)。

さらにこの問題が明らかになった後も、WoSign側は問題のある証明書に対して適切な対処を行わなかったとして批判されているようだ。これを受けてMozilla開発者らの間でWoSignが発行した証明書の扱いをどうするかが議論されているが、WoSignは中国でも大手の認証局と言うことで、対応に苦慮している模様。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年09月03日 12時06分 (#3074357)

    Firefox
    ツール>オプション>詳細>証明書>証明書を表示>認証局証明書>WoSign CA limited配下を選択>信頼性を設定>すべてチェックオフ

    でいいですか?

  • >問題のある証明書に対して適切な対処を行わなかった
    この結果、正当なサイトと怪しいサイトの区別がつかなくなっている訳ですから、
    まとめて『怪しい』(怪しい可能性がある)と、表示するしかありません。

    # 信用できない証明書屋に存在価値はありません。

    --
    notice : I ignore an anonymous contribution.
  • by Anonymous Coward on 2016年09月02日 21時04分 (#3074325)

    とりあえずFirefoxで信用しないにしておいた。なにか影響があるだろうか。

    • by shibuya (17159) on 2016年09月02日 21時35分 (#3074332) 日記

      便乗してWoSignのものをbuiltinであれその他であれdistrust or deleteした。
      …というおっちょこちょい申告。

      // それだけが理由のトラブルはないだろうという甘い判断のもとでの自己判断。

      親コメント
    • by Anonymous Coward on 2016年09月04日 0時47分 (#3074431)

      うちのサイトはWoSignのサーバー証明書を使っているけど、WoSignの認証局証明書をすべて無効にしても、WoSignのサーバー証明書はStartComがクロス署名しているのでとくに問題なくアクセスできるようだ。

      親コメント
  • by Anonymous Coward on 2016年09月02日 21時10分 (#3074329)
    また中国人か
  • by Anonymous Coward on 2016年09月02日 21時35分 (#3074333)

    title only

  • by Anonymous Coward on 2016年09月04日 2時27分 (#3074456)

    信頼が重要な証明書でそんな対応取るなよ。
    関連リンク先と同じ対応しないのはダブスタという意味で悪印象。

    • by Anonymous Coward

      ほんとこれ。
      ポカやらかした認証局があっても回復できるという点を技術的理由以外で無効にしてしまう最悪な手。

  • by Anonymous Coward on 2016年09月04日 11時04分 (#3074561)

    ぱっとみ、信頼する認証局として登録がないっぽい。(v39.0)
    他の人の情報も求む。

  • by Anonymous Coward on 2016年09月05日 10時52分 (#3075059)

    って、なんか、数学の問題命題みたい
    って、問題違いですね

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...