パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Apple、独自のルート証明書をインストールするiOSアプリをApp Storeから削除」記事へのコメント

  • なぜ「独自のルート証明書を使用していると中間者攻撃が懸念される」かがわからない。

    • by Anonymous Coward on 2015年10月12日 2時38分 (#2898046)

      件の広告ブロックアプリは通信内容を途中経路で改竄します。
      しかし改竄するとhttpsでは改竄を検知してブラウザはエラーを表示し結果は表示されません。
      それを防ぐため独自のルート証明書をインストールさせ通信に使用する証明書を差し替えてして通信しています。

      それでは実際に途中経路で改竄された場合は誰が改竄を検知するのでしょうか?
      原理的には証明書を途中で差し替える前でしか行えないので広告ブロックアプリしか行えません。
      それらが正しく実装されていると言えるでしょうか?

      その他にも、広告ブロックアプリアプリを解析する事により独自の証明書で暗号化するために持っているサーバー証明書を得ることができてしまいます。
      その証明書を使って途中経路で改竄すると独自の証明書のインストールが行われている間は正しい証明書のチェックを行えません。

      そもそも悪意のあるアプリが独自のルート証明書をインストールした場合は言うまでもありませんね

      などの懸念があります。

      親コメント
      • by Anonymous Coward

        > 独自の証明書で暗号化するために持っているサーバー証明書を得ることができてしまいます。
        > その証明書を使って途中経路で改竄すると独自の証明書のインストールが行われている間は正しい証明書のチェックを行えません。
        サーバ証明書を得ることは簡単でしょうが、秘密鍵なくサーバ証明書だけを使って、
        どうやって途中経路で改ざんするんでしょうか。

        この仕組みの安全性は、独自の独自ルート証明書と秘密鍵をもって、
        SSLの復号と再暗号化を行う部分の機器のセキュリティ次第であり、
        この手法を使っていれば悪い、ということは一概には言えないと思います。
        逆に、この手法はそ

        • by Anonymous Coward

          >この手法はそもそも証明書が「独自ルート証明書」でなければ安全か、といえば決してそんなことは言えません。途中経路の機器が持っているのが公的証明書であっても、途中経路の機器の安全性はなんら担保されないためです。

          (広告ブロックの対象としたいURL)すべてにマッチする公的証明書は取得できないためそんなことはできません。

        • by Anonymous Coward

          iOS8まではうまく行っていた、独自ルート証明書+クライアント証明書
          による、Appacheアクセス制御(SSLVerifyClient require)が、
          iOS9になると、下記エラーが出て(xCodeのデバイスから取得)先に
          進まなくなっています。
          Safariでクライアント証明書必須の当該H/Pを見るだけで、下記エラーに
          なっています。

          : SecOSStatusWith error:[-34018] Error
          Domain=NSOSStatusErrorDomain Code=-34018
          "client has neither application-identifier
          nor keychain-access-groups entitlements"
          UserInfo={NSDescription=client has neither
          application-identifier nor keychain-access-g

          • by Anonymous Coward

            p12をベタに配ってないでiPhone構成ユーティリティでmobileconfig作れ

        • by Anonymous Coward

          サーバ証明書を得ることは簡単でしょうが、秘密鍵なくサーバ証明書だけを使って、
          どうやって途中経路で改ざんするんでしょうか。

          アプリ内で改竄して再証明している以上アプリに秘密鍵が含まれているはずです。

          このような、独自証明書を使って一度SSLを解読する方法は、Proxy利用するネットワーク製品や
          セキュリティ上、外部へのSSL通信を解析する必要のあるセキュリティ製品等では一般的に行われています。
          (もちろん、企業であれば管理者、またはユーザの同意あっての利用です。)

          それはそのセキュリティ機器が接続先の証明書をチェックしているはずです。していないのであれば欠陥品です。

          独自のルート証明書をインストールするアプリの中で
          ・ユーザー毎に外部から推測できない異なる秘密鍵

          • by Anonymous Coward

            アプリ内で改竄して再証明している以上アプリに秘密鍵が含まれているはずです。

            VPNを使っているので、このアプリ内に暗号鍵は無い筈です。

            • by Anonymous Coward

              広告ブロックアプリがローカルにVPNサーバーを立てているのでは?
              iOSデバイスを持ってないので確認できませんが、少なくともAndroid版のAdblock PlusはlocalhostのVPNサーバーの設定を追加します

              通信内容を改竄するサーバーを開発者が用意する方法だと、通信量を考えるととてもペイできるとは思えませんし、私は広告ブロックのためだけに管理者が改竄、盗聴し放題のサーバーを通すなんて嫌ですね

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...