パスワードを忘れた? アカウント作成
12959537 story
暗号

Comodo、OCRの誤認識により一部ドメインで正規所有者以外がSSL証明書を取得できる状態だった 14

ストーリー by headless
適当 部門より
世界最大の認証局ComodoでSSL証明書発行手続きに不備があり、一部のドメインで正規の所有者以外がSSL証明書を取得できる状態にあったそうだ(Incident Report — OCRSoftpediaの記事The Registerの記事heise Securityの記事)。

ComodoではSSL証明書のリクエストがあるとWHOISデータベースからドメイン所有者の電子メールアドレスを取得し、確認の電子メールを返信する。一連の処理は自動化されているのだが、一部のTLD(.euおよび.be)に関しては電子メールアドレスがテキストで保存されておらず、画像に書き込まれた状態になっているのだという。

そのため、ComodoではOCRソフトウェアを使用してテキストを抽出し、ドメイン所有者に連絡を行っていたそうだ。しかし、このOCRソフトウェアでは数字の「1」と小文字の「l」、数字の「0」と小文字の「o」を正しく識別できなかったため、これらの文字に続く文字が英字の場合は英字として、数字の場合は数字として識別する仕組みを採用していた。

問題を発見した2人のセキュリティ研究者はオーストリアのプロバイダーA1 Telekomのドメイン「a1-telekom.eu」を実証に使用。このドメインでは連絡先の電子メールアドレスが「...@a1tekekom.at」(A1TELEKOM.at)となっている。

そこで、研究者はドメイン「altelekom.at」(ALTELEKOM.at)を取得して連絡先に「...@altekekom.at」を設定し、Comodoにa1-telekom.euのSSL証明書をリクエストする。その結果、取得したドメインの連絡先に確認の電子メールが届き、a1-telekom.euのSSL証明書を取得できてしまったとのこと。

この問題を指摘されたComodoではOCRソフトウェアの使用を中止し、.beドメインと.euドメインに対してOCRソフトウェアで処理を行っていた7月27日から9月28日までのSSL証明書発行状況を調査。このほかのドメインについてOCRソフトウェアの誤認識によるSSL証明書発行は確認されなかったとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • もうさぁ (スコア:3, 興味深い)

    by Anonymous Coward on 2016年10月23日 12時27分 (#3101772)

    証明局界隈からComodo締め出してくれないかな
    PC内で削除しても自動で復活するんで
    信用しないリストに入れてるけど
    OSやブラウザのアプデで上書きされたらダメじゃん?

    Privdogでやらかしてる時で
    レッドカードものでいいと思うんだ
    しかも今回はオレオレじゃなく正規証明書でしょ?

    善意であれ悪意であれ過失であれ
    さすがにもうご退場いただいて十二分な前科でしょう
    出来ればこいつらもご退場願いたい

    ・Atom Security, Inc
    ・Infoweise
    ・KeepMyFamilySecure
    ・Komodia
    ・Kurupira
    ・Lavasoft
    ・Lenovo
    ・Qustodio
    ・Superfish
    ・Websecure Ltd

    • by Anonymous Coward

      そういうのを自動でチェックして弾くソフト作ったらウケそう

    • by Anonymous Coward

      StartCom、WoSign「許された?」

  • ここ最近問題が多すぎる
    社会のインフラのようになってきたのなら、ある程度規制するべき

    • by Anonymous Coward

      法律って……どこの国の?

      • by Anonymous Coward

        アメリカと、携帯端末メーカーの集中している中国と韓国で法規制すれば、仕組みとして十分機能するように思う。

        • by Anonymous Coward

          国際条約作るしかないでしょ

        • by Anonymous Coward

          CNNICにわざとMITM証明書発行させるような国で? ご冗談を。

          • by Anonymous Coward

            それはそういった法規制がないからですよ。
            守らなかったら銃殺にすればバッチリです。

            • by Anonymous Coward

              いや当局がぐるだろうから無理って話。

    • by Anonymous Coward

      そこを飼い続ける親も、でいいですよ。
      S社の製品を推しまくる人には、ふーん、なんで?って聞き返してあげます。

      #まあ、証明書を過信する自体愚か。

    • by Anonymous Coward

      Symantecも(Geotrust、Thawte名義で)やらかしてるし、あっという間にルート証明書ストアが空になりそうだな。

    • by Anonymous Coward

      新興除いて、一度も問題を起こしていない証明書会社ってあったっけ?

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...