Comodo、OCRの誤認識により一部ドメインで正規所有者以外がSSL証明書を取得できる状態だった

Comodo、OCRの誤認識により一部ドメインで正規所有者以外がSSL証明書を取得できる状態だった 14

ストーリー by headless 2016年10月23日 11時44分
適当部門より

世界最大の認証局ComodoでSSL証明書発行手続きに不備があり、一部のドメインで正規の所有者以外がSSL証明書を取得できる状態にあったそうだ(Incident Report — OCR、 Softpediaの記事、 The Registerの記事、 heise Securityの記事)。

ComodoではSSL証明書のリクエストがあるとWHOISデータベースからドメイン所有者の電子メールアドレスを取得し、確認の電子メールを返信する。一連の処理は自動化されているのだが、一部のTLD(.euおよび.be)に関しては電子メールアドレスがテキストで保存されておらず、画像に書き込まれた状態になっているのだという。

そのため、ComodoではOCRソフトウェアを使用してテキストを抽出し、ドメイン所有者に連絡を行っていたそうだ。しかし、このOCRソフトウェアでは数字の「1」と小文字の「l」、数字の「0」と小文字の「o」を正しく識別できなかったため、これらの文字に続く文字が英字の場合は英字として、数字の場合は数字として識別する仕組みを採用していた。

問題を発見した2人のセキュリティ研究者はオーストリアのプロバイダーA1 Telekomのドメイン「a1-telekom.eu」を実証に使用。このドメインでは連絡先の電子メールアドレスが「...@a1tekekom.at」(A1TELEKOM.at)となっている。

そこで、研究者はドメイン「altelekom.at」(ALTELEKOM.at)を取得して連絡先に「...@altekekom.at」を設定し、Comodoにa1-telekom.euのSSL証明書をリクエストする。その結果、取得したドメインの連絡先に確認の電子メールが届き、a1-telekom.euのSSL証明書を取得できてしまったとのこと。

この問題を指摘されたComodoではOCRソフトウェアの使用を中止し、.beドメインと.euドメインに対してOCRソフトウェアで処理を行っていた7月27日から9月28日までのSSL証明書発行状況を調査。このほかのドメインについてOCRソフトウェアの誤認識によるSSL証明書発行は確認されなかったとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索14コメント Log In/Create an Account

もうさぁ (スコア:3, 興味深い)

by Anonymous Coward on 2016年10月23日 12時27分 (#3101772)

証明局界隈からComodo締め出してくれないかな
PC内で削除しても自動で復活するんで
信用しないリストに入れてるけど
OSやブラウザのアプデで上書きされたらダメじゃん？
Privdogでやらかしてる時で
レッドカードものでいいと思うんだ
しかも今回はオレオレじゃなく正規証明書でしょ？
善意であれ悪意であれ過失であれ
さすがにもうご退場いただいて十二分な前科でしょう
出来ればこいつらもご退場願いたい
・Atom Security, Inc
・Infoweise
・KeepMyFamilySecure
・Komodia
・Kurupira
・Lavasoft
・Lenovo
・Qustodio
・Superfish
・Websecure Ltd
- Re: (スコア:0)
  
  by Anonymous Coward
  
  そういうのを自動でチェックして弾くソフト作ったらウケそう
- Re: (スコア:0)
  
  by Anonymous Coward
  
  StartCom、WoSign「許された？」
証明書発行会社は一度でも問題起こしたら処分するよう法律で決めたほうがいい (スコア:0)

by Anonymous Coward on 2016年10月23日 12時35分 (#3101776)

ここ最近問題が多すぎる
社会のインフラのようになってきたのなら、ある程度規制するべき
- Re: (スコア:0)
  
  by Anonymous Coward
  
  法律って……どこの国の？
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    アメリカと、携帯端末メーカーの集中している中国と韓国で法規制すれば、仕組みとして十分機能するように思う。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      国際条約作るしかないでしょ
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      CNNICにわざとMITM証明書発行させるような国で? ご冗談を。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        それはそういった法規制がないからですよ。
        守らなかったら銃殺にすればバッチリです。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        いや当局がぐるだろうから無理って話。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  そこを飼い続ける親も、でいいですよ。
  S社の製品を推しまくる人には、ふーん、なんで？って聞き返してあげます。
  #まあ、証明書を過信する自体愚か。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  Symantecも(Geotrust、Thawte名義で)やらかしてるし、あっという間にルート証明書ストアが空になりそうだな。
  - Re:証明書発行会社は一度でも問題起こしたら処分するよう法律で決めたほうがいい (スコア:1)
    
    by namaedayo (47397) on 2016年10月23日 20時45分 (#3101898)
    
    アレゲ的にはWebブラウザがルート認証局を頂点とする階層型モデルだけではなく、Web of Trustモデルにも対応していければ好ましいですね。
    Public Key Pinningは(悪く言えば早い者勝ちで)Webサーバーからのリクエストに依存して実行されますから、
    ユーザーが自分自身で認証局や証明書への信用を指定できる方が(UNIX哲学的な意味では)ユーザーフレンドリーだと感じます。
    
    シェア
    
    親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  新興除いて、一度も問題を起こしていない証明書会社ってあったっけ？

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Comodo、OCRの誤認識により一部ドメインで正規所有者以外がSSL証明書を取得できる状態だった 14

Comodo、OCRの誤認識により一部ドメインで正規所有者以外がSSL証明書を取得できる状態だった More ログイン

もうさぁ (スコア:3, 興味深い)

Re: (スコア:0)

Re: (スコア:0)

証明書発行会社は一度でも問題起こしたら処分するよう法律で決めたほうがいい (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:証明書発行会社は一度でも問題起こしたら処分するよう法律で決めたほうがいい (スコア:1)

Re: (スコア:0)

スラド