パスワードを忘れた? アカウント作成
13366867 story
Chrome

Google Chrome 60ではSSL証明書の確認が容易に 13

ストーリー by hylom
仕様変更 部門より
headless曰く、

先日安定版の提供が始まったGoogle Chrome 60では、アドレスバーからSSL証明書を確認できるようになっている(9to5GoogleThe Next Web)。

Chromeではもともとアドレスバーから証明書を確認できていたが、Chrome 48ベータでは「Security」タブがデベロッパーツールに追加され、ここに証明書確認機能が移動していた。Chrome 60ではデベロッパーツールに加え、アドレスバー左端で通信の保護状態をクリックすると表示されるメニューから証明書を確認することも可能だ。

ただし、この機能はデフォルトで無効になっており、「chrome://flags」(chrome://flags/#show-cert-link)を開いて「Show certificate link」を有効にする必要がある。この機能を有効にするとメニューに証明書のリンクが追加され、リンクをクリックすれば証明書のプロパティ画面が表示される。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Chrome 60 ではまだデフォルトで無効ではあるものの、なぜ、Google はユーザーが「認証局名」を確認する手段を奪ったのか? [srad.jp] で書いた問題が解決の方向に向かったのは嬉しいです。

    証明書には様々なフィールドがあって何を確認すべきか分からないという人向けに書いておくと、証明書において一般ユーザーが確認すべきフィールドは「サブジェクト」です。

    例えば、Suica ポイントクラブのログイン画面 [suicapoint.com] が、本物のサイトなのかフィッシング詐欺サイトなのかを確認したい場合には、証明書確認画面の詳細タブの「サブジェクト」をチェックすることで、認証局が「東京都渋谷区」にある「East Japan Railway Company」が運営しているサイトであると認証していることが分かり、東日本旅客鉄道株式会社(JR東日本)が運営している正規のサイトである可能性が高いことが分かります。

    CN = www.suicapoint.com
    OU = Information Systems Planning Department
    O = East Japan Railway Company
    L = Shibuya-Ku
    S = Tokyo
    C = JP

    認証局に提出した登記事項証明書が偽造されている可能性とか、同名の会社が存在する可能性などもありますが、今のところはフィッシング詐欺サイトがそこまでしているケースは皆無なので、サブジェクトまで確認すればフィッシング詐欺に引っかかるリスクは(今のところは)殆どなくなります。

    フィッシング詐欺を警戒すべきなのは、スラド [srad.jp] のように、「サブジェクト」をチェックしてもドメイン名以外の情報が確認できない場合です。

    CN = *.srad.jp
    OU = Domain Control Validated - RapidSSL(R)
    OU = See www.rapidssl.com/resources/cps (c)15
    OU = GT75667645

    この場合、認証局が確認したのはドメイン名の使用者であるということだけ(Let's Encryptと同等のDV証明書)なので、証明書からは実在の組織との関連は判定することができません。スラドの場合は、ただのフォーラムサイトなのでどうでも良いですが、仮に先払いの通販サイトだったりした場合には、購買の前に .co.jp ドメインの企業のコーポレートサイトからリンクされているかどうかなど、別の方法で実在の組織との関連付けを確認する必要があります。

    また、金融機関(銀行・証券会社・クレジットカード会社)の場合は、アドレスバーの一部が緑色になっていること(CA/Browser Forum の指針に基づく発効要件に従って物理的・法的実在性が厳格に審査されている EV証明書であること)を合わせて確認すべきです。EV 証明書の場合を使用している みずほ銀行のログイン画面 [mizuhobank.co.jp] のようなケースの場合、「サブジェクト」から認証局が実在を確認している住所を番地まで確認することができます。

    CN = web.ib.mizuhobank.co.jp
    OU = IT system ibweb03
    O = Mizuho Bank,Ltd.
    STREET = 1-5-5 Otemachi
    L = Chiyoda-ku
    S = Tokyo
    PostalCode = 100-8176
    C = JP
    SERIALNUMBER = 0100-01-008845
    2.5.4.15 = Private Organization
    1.3.6.1.4.1.311.60.2.1.3 = JP

    # CNやSANsとアドレスバーのドメイン名の一致、有効期限、署名アルゴリズムの安全性は、ブラウザが勝手に検証するので一般人が確認する必要はありません。

    • by Anonymous Coward

      気持ちは分かる。
      技術的にも正しい。

      ただ、何をすべきか分からない人は、そもそも証明書において一般ユーザは『そんな面倒なことはしてくれない』です。

      アドレスバーが緑か青ならOK、赤か黄ならNG位が限界かと思います……

      • by Anonymous Coward

        > アドレスバーが緑か青ならOK、赤か黄ならNG位が限界かと思います……

        たぶんもっと限界は低い。。。

        スマホユーザー<アドレスバーってたまにでてくる邪魔なあれのこと?

        • by Anonymous Coward

          アドレスバーもそうだけど、スマホのブラウザでリンク先のURLが確認しずらいのはほんとにストレスだわ。
          URLを確認せずにクリックするように誘導するあのUIは絶対おかしい。

        • by Anonymous Coward

          > スマホユーザー<アドレスバーってたまにでてくる邪魔なあれのこと?

          そういや、シュマホ版のChromeってアドレスバーの常時表示すらできなかったっけ

          グーグルがこれだから駄目なんだよ

    • by Anonymous Coward

      サブジェクトだけじゃ信用できなくないですか?
      (それ言ったら100%信用できるのって何?って話になりますが)
      証明書の発行会社を見ませんか?

      仕事上の経験で、
      1.comドメインを取得
       取得時にチェックなし。やろうと思えば偽名でも取得可。
       確認メールを受信できればいい。
      2.取得した.comドメインのSSL証明書取得
       .comの情報と同じ情報で取得申請して、postmaster@~
       宛の確認メールを受信できれば証明書は発行される。
      というのがあったので、こういう発行会社の証明書は信用できないなぁ、
      って思った。

      • サブジェクトだけじゃ信用できなくないですか?
        (それ言ったら100%信用できるのって何?って話になりますが)
        証明書の発行会社を見ませんか?

        私は見ますし、信用しない認証局や信用する認証局がある場合には、認証局名も見た方が良いですが、認証局についての知識がない場合は見ても判断材料にはならないかと思います。認証局名に「DV」「EV」とかが入っているケースでは証明書の種類は判断できますが、認証局名に含まれている保証はなく、また証明書の種類は「サブジェクト」とアドレスバーの色から判断できます。

        そのため、フィッシング詐欺対策として重要度が高いのは「サブジェクト」です。

        2.取得した.comドメインのSSL証明書取得
         .comの情報と同じ情報で取得申請して、postmaster@~
         宛の確認メールを受信できれば証明書は発行される。
        というのがあったので、こういう発行会社の証明書は信用できないなぁ、
        って思った。

        メール以外の認証方法を採用している認証局もあり、DV証明書でも認証局によっては、http://example.com/key に確認コードを設置するとか、WHOISの連絡先のメールアドレスに確認コードを送るといった認証方法の認証局や、複数の方式を選択できる認証局もありますが、postmaster@example.com に確認コードを送るという方式は、DV証明書(ドメイン認証証明書)としては標準的な認証方法ですよ。「こういう発行会社の証明書は信用できない」と考えるのならば、「DV証明書は全部信用できない」と判断するのが良いでしょう。

        そういった認証方式の場合、認証局はドメイン名しかチェックしていないので、証明書署名要求 (Certificate Signing Request) の、組織名(O)・市町村名(L)・都道府県名(S) に何を書いても、実際に発行される証明書の「サブジェクト」には O, L, S が掲載されません。

        そのため、「サブジェクト」の内容が #3254845 で書いた「サブジェクト」をチェックしてもドメイン名以外の情報が確認できない場合 [srad.jp] のようになるので、認証局名を見ずに「サブジェクト」のみと確認した場合でも、ドメイン名しか認証していない証明書であることは分かります。

        親コメント
        • by Anonymous Coward

          DRMか、DRMに関係するモジュールのブートプロセスなら、もっと真剣にチェックするでしょう?
          結局、三文判でしかないんですよ。
          大層な判子であったとしても、サーバ側にwebからつつける脆弱性があるか、ローカルにマルウェアがいたらおわり。
          経路暗号化程度の意味しかありません。
          なんてことを実装に無関心なエントユーザに言ってもしょうがないので、商業上、りっぱな判子を押すんです。
          しょうもない判子を押してくる商店からは買わない人もいて当然。それもわかります。

      • by Anonymous Coward

        ドメインの取得になんのチェックが必要だというんだろうか
        金さえ払えば無問題だろ
        EVでもない証明書をどんだけ信用してるんだ
        ドメイン所有者だと確認出来りゃ十分だろう

  • 誰とは言わないけど

    誰とは言わないけどなんちゃらセキュリティのきほんって本を出してる人

    • by Anonymous Coward

      目視はダメよね。χとXとまでいかなくても、0とOでも間違うんだから。

  • 誰も証明書なんて見てないし、フィッシング詐欺サイトでも普通にLets Encrypt使ってるしさ

    • by Anonymous Coward

      通信が暗号化されていることとサイトの管理者が悪意を持っていることは別の話だからな

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...