アカウント名:
パスワード:
CAはその信用を守るためにも、OCSPなりCRLなり使ってRevokeしたほうがいいんじゃないかなー。(もちろん何日以内に対応セヨ、と事前に通知することが必要ですが)
Heartbleed問題は証明書そのものに原因があるのではなく、それを扱うプログラム (openssl) に原因があるわけですから、証明書を無効化したところで問題の解決にはならないでしょう。
既にCAから顧客に対しては連絡があったはずですし、それ以上の確認コストまでは負担できん、というのが現状ではないでしょうか。
秘密鍵が盗み出されても、証明書が無効化されていれば悪用できないでしょう?
そこで「IE6は古くて脆弱性問題もあるだけでなく、証明書無効チェックが標準でされていないんです。だからIE6をすてて新しいOSに(ry」という話も出てきますが(笑)
証明書が無効化されても問題サーバーをターゲットでメモリーデーターを盗めるのが問題。SQLのログイン、ユーザーのログインなどなんでも盗めるのだからSSL鍵の問題ではないのだな。CloudFlareは実際にコンテスト(鍵を盗んでみな!)ってやつで数名に盗まれたし。http://blog.cloudflare.com/the-heartbleed-aftermath-all-cloudflare-cer... [cloudflare.com]
> Heartbleed問題は証明書そのものに原因があるのではなく、それを扱うプログラム (openssl) に原因があるわけですから、証明書を無効化したところで問題の解決にはならないでしょう。
Heartbleed問題で、秘密鍵が盗まれた可能性がある証明書は、その証明書そのものに問題があるということに他ならないのですから、無効化して再生成させる必要がありますよ。
OpenSSLを修正した後、秘密鍵はそのままでCAから証明書を再発行してもらうなんて間違いも多発したようですが、それがこの30万台に含まれているのか微妙です。たぶん含まれていない。
> 既にCAから顧客に対しては連絡があったはずですし、それ以上の確認コストまでは負担できん、というのが現状ではないでしょうか。
おそらくCAからの再発行は無償で行ってもらえたはずですし、それをやっていないのは確認コストではなくて、面倒くさい、意味が分からないということだけでしょう。
> CAってそこまで顧客の面倒を見てあげるべき仕事ではないと思うな。
は? いやいやいや、何言ってんですかアナタ!CAの仕事の本質はそれですよ??
CAってどういう存在かしってます?
対象者(サーバやアプリケーション、企業)の存在や安全性を確認したうえでディジタル証明書を発行し、それをユーザに保証してあげることが仕事です。安全性の担保が失われた証明書は無効化しないと、仕事をさぼってることになります。
だがまぁ秘密鍵を漏らした恐れのある顧客に対して証明書の再発行を行うくらいのサービスはやっても良いんじゃね?その一環としてまずは失効処理(予定)と再発行案内(ついでに件のバグの大雑把な説明ととりあえずの対策案内)をやるとかさ。
パスワード流出したサービスでパスワードを再発行するってのはまま有る事だし、こういう客を放置してSSL/TLSが信用できない状況を改善するってのはCAって業務を行う企業にとってもそう悪いことでは無いと思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
CAの信用 (スコア:0)
CAはその信用を守るためにも、OCSPなりCRLなり使ってRevokeしたほうがいいんじゃないかなー。
(もちろん何日以内に対応セヨ、と事前に通知することが必要ですが)
Re: (スコア:0)
Heartbleed問題は証明書そのものに原因があるのではなく、それを扱うプログラム (openssl) に原因があるわけですから、証明書を無効化したところで問題の解決にはならないでしょう。
既にCAから顧客に対しては連絡があったはずですし、それ以上の確認コストまでは負担できん、というのが現状ではないでしょうか。
Re: (スコア:0)
秘密鍵が盗み出されても、証明書が無効化されていれば悪用できないでしょう?
Re: (スコア:0)
そこで「IE6は古くて脆弱性問題もあるだけでなく、証明書無効チェックが標準でされていないんです。だからIE6をすてて新しいOSに(ry」という話も出てきますが(笑)
Re: (スコア:0)
証明書が無効化されても問題サーバーをターゲットでメモリーデーターを盗めるのが問題。
SQLのログイン、ユーザーのログインなどなんでも盗めるのだからSSL鍵の問題ではないのだな。
CloudFlareは実際にコンテスト(鍵を盗んでみな!)ってやつで数名に盗まれたし。
http://blog.cloudflare.com/the-heartbleed-aftermath-all-cloudflare-cer... [cloudflare.com]
Re: (スコア:0)
> Heartbleed問題は証明書そのものに原因があるのではなく、それを扱うプログラム (openssl) に原因があるわけですから、証明書を無効化したところで問題の解決にはならないでしょう。
Heartbleed問題で、秘密鍵が盗まれた可能性がある証明書は、その証明書そのものに問題があるということに他ならないのですから、無効化して再生成させる必要がありますよ。
OpenSSLを修正した後、秘密鍵はそのままでCAから証明書を再発行してもらうなんて間違いも多発したようですが、それがこの30万台に含まれているのか微妙です。
たぶん含まれていない。
> 既にCAから顧客に対しては連絡があったはずですし、それ以上の確認コストまでは負担できん、というのが現状ではないでしょうか。
おそらくCAからの再発行は無償で行ってもらえたはずですし、それをやっていないのは確認コストではなくて、面倒くさい、意味が分からないということだけでしょう。
Re: (スコア:0)
死ぬほどタコな顧客がうっかり誰でもダウンロード出来るところに秘密鍵を置いていないか? とか、
考え出すと、ちゃんと面倒を見るために監査しなきゃならない項目が無限に増えて行く。
Re: (スコア:0)
> CAってそこまで顧客の面倒を見てあげるべき仕事ではないと思うな。
は? いやいやいや、何言ってんですかアナタ!
CAの仕事の本質はそれですよ??
CAってどういう存在かしってます?
対象者(サーバやアプリケーション、企業)の存在や安全性を確認したうえでディジタル証明書を発行し、それをユーザに保証してあげることが仕事です。
安全性の担保が失われた証明書は無効化しないと、仕事をさぼってることになります。
Re: (スコア:0)
対象者がまともかどうか(登記されている企業か、申請者は確かにその企業を代表する立場か)などまで保証出来るような仕組みを目指したけど、
末端まで徹底できずにぐだぐだになってきたので、本来目指していたところまで徹底的に保証するEV証明書が追加されたという歴史ぐらいまでは知ってます。
そのEV証明書にしても、申請してきた組織がまともかどうか、また、その組織の総意と見なせる申請かどうかをチェックした上で、
その組織の秘密鍵にお墨付きを与える証明書を発行するところまでが業務だと思っていましたが、違うんですか?
Re: (スコア:0)
だがまぁ秘密鍵を漏らした恐れのある顧客に対して証明書の再発行を行うくらいのサービスはやっても良いんじゃね?
その一環としてまずは失効処理(予定)と再発行案内(ついでに件のバグの大雑把な説明ととりあえずの対策案内)をやるとかさ。
パスワード流出したサービスでパスワードを再発行するってのはまま有る事だし、こういう客を放置してSSL/TLSが信用できない状況を改善するってのはCAって業務を行う企業にとってもそう悪いことでは無いと思う。
Re: (スコア:0)
対策をお願いする立場なのか、ある程度強制できる立場なのか。
非営利無償のCAで、「以前に発効した分は失効手続きを行うので、いついつまでに新しい秘密鍵を作って
署名リクエストを\送れ」というのをやってのけたところもありましたが。
その組織がCAをやっている目的が営利ではなく、特定分野のセキュリティ向上なので納得出来る対応でした。
営利の場合でも、証明書を発行する際の契約に「流出が強く疑われる場合は、確認後、猶予時間をおいて失効させます」と決めておけば良いんですね。