中国大手SSL認証局で不正に証明書を取得できてしまう問題が明らかに 11
ストーリー by hylom
ミスが発端であるものの 部門より
ミスが発端であるものの 部門より
insiderman 曰く、
無料でマルチドメイン対応のSSL証明書を発行してくれるとして一部で話題になっていた中国の認証局「WoSign」で、サブドメインに紐付けられているサーバーの管理権限があれば、そのメインのドメインに対するSSL証明書も取得できてしまうという問題が明らかになっている。たとえばgithub.ioでは、利用者に対し<プロジェクト名/ユーザー名>.github.ioや<プロジェクト名/ユーザー名>.github.comというドメインを提供しているが、これを悪用することでgithub.ioやgithub.comに対するSSL証明書も取得できてしまうことになる(GIGAZINE、Schrauger.com、Chinese CA WoSign faces revocation after possibly issuing fake certificates of Github, Microsoft and Alibaba)。
さらにこの問題が明らかになった後も、WoSign側は問題のある証明書に対して適切な対処を行わなかったとして批判されているようだ。これを受けてMozilla開発者らの間でWoSignが発行した証明書の扱いをどうするかが議論されているが、WoSignは中国でも大手の認証局と言うことで、対応に苦慮している模様。
中国だから仕方ない (スコア:2, 参考になる)
Firefox
ツール>オプション>詳細>証明書>証明書を表示>認証局証明書>WoSign CA limited配下を選択>信頼性を設定>すべてチェックオフ
でいいですか?
判別つかなければ「あやしい」と表示するしかない (スコア:1)
>問題のある証明書に対して適切な対処を行わなかった
この結果、正当なサイトと怪しいサイトの区別がつかなくなっている訳ですから、
まとめて『怪しい』(怪しい可能性がある)と、表示するしかありません。
# 信用できない証明書屋に存在価値はありません。
notice : I ignore an anonymous contribution.
ものはためしに (スコア:0)
とりあえずFirefoxで信用しないにしておいた。なにか影響があるだろうか。
Re:ものはためしに (スコア:1)
便乗してWoSignのものをbuiltinであれその他であれdistrust or deleteした。
…というおっちょこちょい申告。
// それだけが理由のトラブルはないだろうという甘い判断のもとでの自己判断。
Re:ものはためしに (スコア:1)
うちのサイトはWoSignのサーバー証明書を使っているけど、WoSignの認証局証明書をすべて無効にしても、WoSignのサーバー証明書はStartComがクロス署名しているのでとくに問題なくアクセスできるようだ。
また (スコア:0)
Certificate Transparencyはどうした (スコア:0)
title only
Firefoxも終わりか。。 (スコア:0)
信頼が重要な証明書でそんな対応取るなよ。
関連リンク先と同じ対応しないのはダブスタという意味で悪印象。
Re: (スコア:0)
ほんとこれ。
ポカやらかした認証局があっても回復できるという点を技術的理由以外で無効にしてしまう最悪な手。
Opera (スコア:0)
ぱっとみ、信頼する認証局として登録がないっぽい。(v39.0)
他の人の情報も求む。
中国人の認証 (スコア:0)
って、なんか、数学の問題命題みたい
って、問題違いですね