パスワードを忘れた? アカウント作成
Close
15023070 story
暗号

カザフスタン政府発行のルート証明書、中間者攻撃が判明して各社ブラウザーにブロックされる 29

ストーリー by nagazou
ブロック 部門より
headless 曰く、

カザフスタン政府が再び独自のルート証明書を発行して中間者攻撃を行っていたことが判明し、MozillaやApple、Google、Microsoftのブラウザーが証明書のブロックを開始したそうだ(Mozillaブログ Open Policy & Advocacyの記事Ars Technicaの記事ZDNetの記事Mac Rumorsの記事)。

カザフスタンでは2019年にも政府発行のルート証明書による中間者攻撃が判明して各社のブラウザーでブロックされている。今回、カザフスタン政府はサイバー攻撃増加を理由に首都ヌルスルタンで12月6日から訓練を行うと発表し、特定の国外Webサイトへのアクセスに問題が発生した場合はセキュリティ証明書をインストールすれば解決すると説明していた。

しかし、この証明書を用いてカザフスタン政府がFacebookやGoogle、Instagram、Mail.ru、Twitter、VK、YouTubeなどのドメインへのトラフィックを傍受していることが明らかになり、各社ブラウザーで証明書がブロックされる結果となった。証明書のブロックにより、カザフスタンから対象ドメインにアクセスしようとするとエラーメッセージが表示されることになる。Mozillaでは影響を受けるユーザーに対し、VPNの使用やTor Browserの使用を推奨している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

カザフスタン政府発行のルート証明書、中間者攻撃が判明して各社ブラウザーにブロックされる More

  • 意外と気付いてない人が多い気がするんだけど、マジで危険なので。
    企業のPCでオンプレAD発行の「オレオレ証明書」とか使って「SSL通信の監査」やってる実装とか知ってれば
    明らかに危険なことくらい理解できるだろうにね。

    クリティカルな情報を送信する際には端末側のブラウザで証明書の「発行元」を確認することは必須。
    ややこしい手順でもいいから確認したいと思っても、手段自体を封じてるiPhoneは困った話。
    以前はiPhoneでもChrome使えば確認できたはずなんだけど、いつの間にか見れなくされてるし。

    • iPhoneのデフォルトインストール済み証明書の一覧はコチラ
      https://support.apple.com/ja-jp/HT204132 [apple.com]

      自分でインストールしたものは、設定アプリの
      「一般」→「情報」→「証明書信頼設定」
      で確認でき、有効/無効を設定できる。デフォルトは無効になっている。
      https://support.apple.com/ja-jp/HT204477 [apple.com]

      シェア
      親コメント

      • そうではなくて、元コメの言いたいことは、今まさに見ようとしているサイトの証明書が、どの認証局から発行されているかってことだろ。
        「こんなサイトに証明書を発行しているこの認証局は、気が狂っているか、クラッキングされているのかもしれない」などと考える役に立つ。
        本当は、OSデフォルトの認証局に対しても「こいつは信用しない」などと設定できるべきだが、iPhoneはできない。

        シェア
        親コメント

    • Re: (スコア:0)

      by Anonymous Coward

      追加も削除も、確認もできないってことは、結局オモチャってこと。

      漢は黙ってMac.

      • Re: (スコア:0)

        by Anonymous Coward

        MACのキーチェーンも、いじれるように(パスワード既知に)
        するには、今までの設定をリセットしないといけないし、
        設定した鍵を信頼するとしても(そうしないと何十回も
        パスワードを聞いて来る)、いつの間にかに設定が解けて
        訳が分からなくなる
        ので、どうやったら黙って使えるのか、秘訣とかあるので
        しょうかね?

        • Re: (スコア:0)

          by Anonymous Coward

          結局、デバイスを信頼してくださいってセキュリティモデルのモバイルが、(Appleの)作でさえおもちゃってこと。
          時にはデバイスを、己(オペレータ)さえ疑ってみるってのは大事だ。開発者には当然のことだが。。

    • Re: (スコア:0)

      by Anonymous Coward

      とは言うてもなぁ。
      イントラオンプレ環境に手軽にSSL導入できる仕組みがこれしか無いのよ

      • Re: (スコア:0)

        by Anonymous Coward

        Let's Encryptのワイルドカード証明書でも使ったら?

      • Re: (スコア:0)

        by Anonymous Coward

        普通サーバ証明書でいいよね。なんで認証局証明書を入れさせようとするの?悪いことしようとしているのバレバレなんですが。

  • まだ開始してない (スコア:0)

    by Anonymous Coward on 2020年12月21日 18時49分 (#3945950)

    Firefoxでもまだステージングサーバーに配信されてテストが可能になったに過ぎないし、他社の動向に至ってはMozillaが勝手に言ってるだけ。むしろ他社にプレッシャー掛けるのが目的じゃないの。"will"くらい翻訳できて。

    • Re: (スコア:0)

      by Anonymous Coward

      学がないので英語は分かりませんが、コメントする前に CRLSet と disallowedcert.stl を確認したらどうですか?

    • Re: (スコア:0)

      by Anonymous Coward

      ソースを読む限り、もう失効されたのでは?

      ZDNet:

      Browser makers Apple, Google, Microsoft, and Mozilla, have banned today a root certificate that was being used by the Kazakhstan government to intercept and decrypt HTTPS traffic for residents in the country's capital, the city of Nur-Sultan (formerly Astana).

      arstechnia:

      All four of the companies’ browsers recently received updates that block a root certificate the government has been requiring some citizens to install.

      MacRumors:

      Apple and the other browser makers on Friday acted in unison to ban the certificate, accordin

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア