ですから、SSLの証明書は通常組織名をユーザーに(目立つ形で)提示しません。ドメイン名のみを提示します。 Opera 8.0が、証明書の組織名をアドレスバーに表示する仕様を導入したことがあったのですが、今回の脆弱性とまったく同じように有名な会社と同名の証明書を取得してそれをアドレスバーに表示するデモが登場しました。その結果Operaの仕様は脆弱性とみなされ、8.0.1で撤回されました。その後、もっとちゃんと組織の実在証明を行った証明書のみ組織名を表示しようという流れから、EV SSLが誕生したのです。
Verisignの問題? (スコア:1)
>適当なメールアドレスを用いて「Apple Computer」という名称でVerisignから6日間有効のデモ用認証ファイルを取得し
Verisignて、適当なメールアドレスで認証フィルを発行するんですか。それでは、証明書の信頼性に関わると思うんですが。
「Apple Computer」という名称は、iMacやiPhoneを売っている「Apple inc.」とは違うので、詐称にはならないから良いんですかね。それでも、申請者のチェックは行わないと問題だと思うんですが、デモ用だと確認せずに発行するのだろうか。
これだと、Verisignの証明書が信用できないという結論になりそうなのですが。
なにか勘違いしているのでしょうか。
Re: (スコア:3, 参考になる)
実在証明を行わない証明書の仕様です。問題なのは、そんな証明書に書かれている名前をセキュリティ上重要な判断に使っているアップルであって、VeriSignが発行している証明書ではありません。
SSLの場合はドメインの所有者でないと受け取れないメールアドレスを指定したり電話をかけたりすることによって確認を行いますが、それ以上のチェックは通常行われません。行うものがEV SSLですが、保証しているのは証明書に書かれている組織が確かに存在することであって、確かに存在する詐欺会社かどうかまでは関知しません。
Re:Verisignの問題? (スコア:2)
この話しだしたら、
Webの証明書の信頼性の話になってしまいます。
セキュリティ上重要な判断、例えば、オンライン決済だろうとPhissingだろうと同じように使え、
一般人を騙せてしまうので、
Appleに限らない気がします。
iPhoneのProfileの場合は、
実際Profileでどこまでできるか私は知りませんが、
手元でProfile生成することで、パスワードをセキュアにしてたりしますし、
多くの企業等が便利に使ってると思います。
実際、BB mobile pointの設定をSoftbankが配布していたりします。
Appleに可能な対処は、
Profileのインストール手続きの際に適切な警告を出すことと、
証明書の確からしさの提示、日付を確認することによるデモ証明書の検知、ブラックリストの利用くらいでしょうか。
結局、webブラウザ等でも、どこまで適切にユーザに警告を出すか、ということになると思います。
Re:Verisignの問題? (スコア:1)
元コメをちゃんと読めば分かると思うが、
今回の問題点は
「実在証明を行わない(行えない)証明書を信用してしまうこと」
が問題なのであって、
実在証明を行う正規の証明書のみを信用するようになっていない、
Appleのセキュリティに対する考え方の甘さが問題なんだけど…。
もちろんPCみたいに何でもホイホイ入れられる(JB後のような)ものなら分かるけど、
基本的にAppleの審査抜きでアプリを導入できない状況では、
この仕様は甘すぎると言うよりもセキュリティ意識なさすぎと判断せざるを得ないかと。
Re: (スコア:0)
ですから、SSLの証明書は通常組織名をユーザーに(目立つ形で)提示しません。ドメイン名のみを提示します。
Opera 8.0が、証明書の組織名をアドレスバーに表示する仕様を導入したことがあったのですが、今回の脆弱性とまったく同じように有名な会社と同名の証明書を取得してそれをアドレスバーに表示するデモが登場しました。その結果Operaの仕様は脆弱性とみなされ、8.0.1で撤回されました。その後、もっとちゃんと組織の実在証明を行った証明書のみ組織名を表示しようという流れから、EV SSLが誕生したのです。