Comodo、OCRの誤認識により一部ドメインで正規所有者以外がSSL証明書を取得できる状態だった 14
ストーリー by headless
適当 部門より
適当 部門より
世界最大の認証局ComodoでSSL証明書発行手続きに不備があり、一部のドメインで正規の所有者以外がSSL証明書を取得できる状態にあったそうだ(Incident Report — OCR、
Softpediaの記事、
The Registerの記事、
heise Securityの記事)。
ComodoではSSL証明書のリクエストがあるとWHOISデータベースからドメイン所有者の電子メールアドレスを取得し、確認の電子メールを返信する。一連の処理は自動化されているのだが、一部のTLD(.euおよび.be)に関しては電子メールアドレスがテキストで保存されておらず、画像に書き込まれた状態になっているのだという。
そのため、ComodoではOCRソフトウェアを使用してテキストを抽出し、ドメイン所有者に連絡を行っていたそうだ。しかし、このOCRソフトウェアでは数字の「1」と小文字の「l」、数字の「0」と小文字の「o」を正しく識別できなかったため、これらの文字に続く文字が英字の場合は英字として、数字の場合は数字として識別する仕組みを採用していた。
ComodoではSSL証明書のリクエストがあるとWHOISデータベースからドメイン所有者の電子メールアドレスを取得し、確認の電子メールを返信する。一連の処理は自動化されているのだが、一部のTLD(.euおよび.be)に関しては電子メールアドレスがテキストで保存されておらず、画像に書き込まれた状態になっているのだという。
そのため、ComodoではOCRソフトウェアを使用してテキストを抽出し、ドメイン所有者に連絡を行っていたそうだ。しかし、このOCRソフトウェアでは数字の「1」と小文字の「l」、数字の「0」と小文字の「o」を正しく識別できなかったため、これらの文字に続く文字が英字の場合は英字として、数字の場合は数字として識別する仕組みを採用していた。
問題を発見した2人のセキュリティ研究者はオーストリアのプロバイダーA1 Telekomのドメイン「a1-telekom.eu」を実証に使用。このドメインでは連絡先の電子メールアドレスが「...@a1tekekom.at」(A1TELEKOM.at)となっている。
そこで、研究者はドメイン「altelekom.at」(ALTELEKOM.at)を取得して連絡先に「...@altekekom.at」を設定し、Comodoにa1-telekom.euのSSL証明書をリクエストする。その結果、取得したドメインの連絡先に確認の電子メールが届き、a1-telekom.euのSSL証明書を取得できてしまったとのこと。
この問題を指摘されたComodoではOCRソフトウェアの使用を中止し、.beドメインと.euドメインに対してOCRソフトウェアで処理を行っていた7月27日から9月28日までのSSL証明書発行状況を調査。このほかのドメインについてOCRソフトウェアの誤認識によるSSL証明書発行は確認されなかったとのことだ。
もうさぁ (スコア:3, 興味深い)
証明局界隈からComodo締め出してくれないかな
PC内で削除しても自動で復活するんで
信用しないリストに入れてるけど
OSやブラウザのアプデで上書きされたらダメじゃん?
Privdogでやらかしてる時で
レッドカードものでいいと思うんだ
しかも今回はオレオレじゃなく正規証明書でしょ?
善意であれ悪意であれ過失であれ
さすがにもうご退場いただいて十二分な前科でしょう
出来ればこいつらもご退場願いたい
・Atom Security, Inc
・Infoweise
・KeepMyFamilySecure
・Komodia
・Kurupira
・Lavasoft
・Lenovo
・Qustodio
・Superfish
・Websecure Ltd
Re: (スコア:0)
そういうのを自動でチェックして弾くソフト作ったらウケそう
Re: (スコア:0)
StartCom、WoSign「許された?」
証明書発行会社は一度でも問題起こしたら処分するよう法律で決めたほうがいい (スコア:0)
ここ最近問題が多すぎる
社会のインフラのようになってきたのなら、ある程度規制するべき
Re: (スコア:0)
法律って……どこの国の?
Re: (スコア:0)
アメリカと、携帯端末メーカーの集中している中国と韓国で法規制すれば、仕組みとして十分機能するように思う。
Re: (スコア:0)
国際条約作るしかないでしょ
Re: (スコア:0)
CNNICにわざとMITM証明書発行させるような国で? ご冗談を。
Re: (スコア:0)
それはそういった法規制がないからですよ。
守らなかったら銃殺にすればバッチリです。
Re: (スコア:0)
いや当局がぐるだろうから無理って話。
Re: (スコア:0)
そこを飼い続ける親も、でいいですよ。
S社の製品を推しまくる人には、ふーん、なんで?って聞き返してあげます。
#まあ、証明書を過信する自体愚か。
Re: (スコア:0)
Symantecも(Geotrust、Thawte名義で)やらかしてるし、あっという間にルート証明書ストアが空になりそうだな。
Re:証明書発行会社は一度でも問題起こしたら処分するよう法律で決めたほうがいい (スコア:1)
Public Key Pinningは(悪く言えば早い者勝ちで)Webサーバーからのリクエストに依存して実行されますから、
ユーザーが自分自身で認証局や証明書への信用を指定できる方が(UNIX哲学的な意味では)ユーザーフレンドリーだと感じます。
Re: (スコア:0)
新興除いて、一度も問題を起こしていない証明書会社ってあったっけ?