アカウント名:
パスワード:
企業の情シスやってると「なんでもかんでもSSLにすんな」って思っちゃう
もちろん様々な対策を組み合わせて使ってるうちの1つでしかないけど、とは言え「プロキシサーバーで通信内容チェックしてExploit等は遮断する」みたいなのが使えなくなるからねー
SSLだからってプロキシサーバーで内容チェックができないわけじゃないでしょその場合プロキシサーバーが証明書の検証をしないといけないけど
技術的にできるできないで言えば可能だが、実際それやると負荷で大変なことになるよ
# 社内プロキシ2台立ててるけど、以前HTTPSの中身チェックやろうと見積もり出したら「負荷分散のため同等品があと4台必要」になった
証明書を検証することとExploitを遮断することは無関係なんですが。
Exploitを遮断するためにTLSの通信の中身を覗くなら、当然ながら覗こうとするプロキシサーバー側がTLSの端となる必要があり、その結果を本来のクライアントに中継する必要があります。Exploitでないからといってプロキシサーバーが証明書を検証せずにクライアントに渡せば、それ自体が別の重大な脆弱性です。
「証明書を検証することとExploitを遮断すること」に直接的な関係がないからといって、あなたは本当にそんな対応をするんですか?
最近はhttpsを復号化できるゲートウェイ機器が多いけど、必ず「有効にすると高負荷になる」と脅されるね……。早く低負荷で復号化できるようにならないかな。
まあ負荷以外に、ユーザへ証明書警告が出る旨を周知するのも手間なんだけど。
httpsは地球環境に優しくないな...
そういえば、ちょうどタイミングよくこんなストーリーが: Firefox、一部のウイルス対策製品の影響でSHA-1対応を一時的に復活 [security.srad.jp]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
うーん (スコア:0)
企業の情シスやってると「なんでもかんでもSSLにすんな」って思っちゃう
もちろん様々な対策を組み合わせて使ってるうちの1つでしかないけど、とは言え「プロキシサーバーで通信内容チェックしてExploit等は遮断する」みたいなのが使えなくなるからねー
Re: (スコア:0)
SSLだからってプロキシサーバーで内容チェックができないわけじゃないでしょ
その場合プロキシサーバーが証明書の検証をしないといけないけど
Re: (スコア:0)
技術的にできるできないで言えば可能だが、実際それやると負荷で大変なことになるよ
# 社内プロキシ2台立ててるけど、以前HTTPSの中身チェックやろうと見積もり出したら「負荷分散のため同等品があと4台必要」になった
Re: (スコア:0)
証明書を検証することとExploitを遮断することは無関係なんですが。
Re:うーん (スコア:2)
Exploitを遮断するためにTLSの通信の中身を覗くなら、当然ながら覗こうとするプロキシサーバー側がTLSの端となる必要があり、その結果を本来のクライアントに中継する必要があります。Exploitでないからといってプロキシサーバーが証明書を検証せずにクライアントに渡せば、それ自体が別の重大な脆弱性です。
「証明書を検証することとExploitを遮断すること」に直接的な関係がないからといって、あなたは本当にそんな対応をするんですか?
Re: (スコア:0)
最近はhttpsを復号化できるゲートウェイ機器が多いけど、
必ず「有効にすると高負荷になる」と脅されるね……。
早く低負荷で復号化できるようにならないかな。
まあ負荷以外に、ユーザへ証明書警告が出る旨を周知する
のも手間なんだけど。
Re: (スコア:0)
httpsは地球環境に優しくないな...
Re: (スコア:0)
そういえば、ちょうどタイミングよくこんなストーリーが: Firefox、一部のウイルス対策製品の影響でSHA-1対応を一時的に復活 [security.srad.jp]