アカウント名:
パスワード:
どこが悪用なんでしょうか?よく分かりませんでした。「正規のドメイン」というのが他人のドメインということですか?
なんでもかんでも「不正」「悪用」の一言で済ますから誤解が発生する、という典型例だな。
サーバの管理者権限を盗まれたわけでもなし、証明機関の機密鍵が漏れたわけでもなし、TrendMicroは証明機関に責任を押しつけすぎだ。
そうは言っても、まあ実際、何について「悪用」と言っているのかは大まかには妄想できるよね?軽度なアスペの俺でも、これくらいならちゃんと察せるぜ。
もちろん、もし世の中の人間全員が技術的に厳密な世界で生きているのであればそりゃ厳密には「どこが悪用なのか」とツッコミ入るけどなw
で、結局何が悪用なんですか?「正規のドメイン」というのが他人のドメインということ?他人のドメインのサブドメインの署名書を取得できる?
分かってるつもりってのが一番危ないんじゃ…
「正規のドメイン」というのが他人のドメインということ? 他人のドメインのサブドメインの署名書を取得できる?
Domain Shadowing [cisco.com] という攻撃方法は、「レジストラ」や「レジストラの代理店」のアカウント、例えば eNom とか お名前.com とか VALUE DOMAIN のアカウントを乗っ取り、正規のドメインに対してサブドメイン(自分のサイトのAレコードを登録)を作りまくって悪用する手口です。
レジストラのアカウントを乗っ取った以上は、サブドメイン以外を書き換えることも技術的には可能ですが、あえてサブドメインの追加のみに留めるているのはドメインの正規所有者に乗っ取られたことを気が付きにくくするためだと思います。サブドメインを勝手に追加しても、正規のサイトにはそのままアクセスできるので、乗っ取り行為の発覚を遅らせる効果があります。
ちなみに、Let's Encrypt ユーザーガイド(Webroot プラグイン) [letsencrypt.jp]によると、サブドメインに対する証明書を取得する場合、サブドメインのドキュメントルート以下に認証ファイルが設置できれば問題無いようです。
ということは、レンタルサーバに契約するとレンタルサーバ会社所有のドメインのサブドメインの使用権が与えられるようなケースの場合、レンタルサーバ契約者がレンタルサーバ会社所有のドメインのサブドメインで Let's Encrypt の証明書を取得できる仕様なようです。権限不足でレンタルサーバ上で Let's Encrypt クライアントが動作しない場合でも、Manual プラグインを使用すれば他のマシンでクライアントを実行できる(認証ファイルのみ手動で設置する)ので、同様に証明書が取得できてしまいます。
他の認証局のDV証明書だと、sub.example.com の証明書を取得する場合でも、
などへの認証用ファイルの設置を要求されるケースが多いので、一般的な認証局のDV証明書とは異なる仕様なようです。
Let's Encrypt は「ドメイン所有者」ではなく「ドメインやサブドメインの実質的な使用者」を認証するという考えなのでしょうね。
DNS CAAで拒否できるのでは?と書こうと思いましたが、そもそも乗っ取られた状況だとAだけでなくCAAも書き換えできるから、あまり意味がないですかね。
#なお、Let's EncryptはCAAを見るようだ。Certs for subdomains without the domain owner's permission - Issuance Policy - Let's Encrypt Community Support [letsencrypt.org]には、“Let's Encrypt supports the CAA standard”という回答がある。
他人のドメインのサブドメインを不正に取得している。不正に取得したサブドメインにLet's Encryptを使用して証明書をつけている(悪用している)。
証明書の取得自体は悪用じゃないけど、取得した証明書を悪用している。
下手なたとえはあまりしたくないけど、包丁を使って食材を切れば「正規の利用」だけど、それで人を脅したり刺したりしたら「悪用」。
# で、TrendMicroは悪用が確認されたら取り消すべき(包丁のたとえなら回収かな)と提言し、Let's Encrypt側はそれはあまり意味がないと言っている
これでわかりましたか?
そうなんだ。ありがとう。サブドメインのハイジャックか。
しかし、大まかに妄想したり察したりしている人はいつも大丈夫なんだろうか?
どこかの誰かが著作権を侵害する形で映画のデータやらをYouTubeにアップロードしたら、「YouTubeの悪用」だろ?他に表現しようもないから、そう聞いた側が何が起こってるかを正しく把握せにゃならん。
レジストラのアカウントを乗っ取った行為に対して「DNSの悪用」って言うのは同意できるけどYoutubeに映画を上げた時に「windows/chrome/インターネットの悪用」って言うかなあ
>Youtubeに映画を上げた時に「windows/chrome/インターネットの悪用」って言うかなあ
何でもかんでも一般化して広げて行くと、「犯罪者は空気中の酸素を悪用」に行き着いてしまうので程度の問題だ、というのには同意。
そこでなぜ、DNSよりも特化したサービスである証明書の発行サービスを、より一般的な方向に例えて考えようとして混乱してるのかが不可解。結論ありきで認識をねじ曲げてしまっているんではないか?
悪用なんてされ得ないから悪くないんだ、というように無理矢理考えても歪みが生じるだけ。悪用されうるサービスは、ちゃんと悪用され得ると認める。そうしないと、適切な対応を取るべき、という議論に発展しない。
Let's Encryptに関していえば、今の運用で妥当だと多くの人が認識して支持して、この手の難癖を無視できる状態であれば良いだけ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
悪用? (スコア:0)
どこが悪用なんでしょうか?
よく分かりませんでした。
「正規のドメイン」というのが他人のドメインということですか?
Re:悪用? (スコア:1)
なんでもかんでも「不正」「悪用」の一言で済ますから誤解が発生する、という典型例だな。
サーバの管理者権限を盗まれたわけでもなし、
証明機関の機密鍵が漏れたわけでもなし、
TrendMicroは証明機関に責任を押しつけすぎだ。
Re: (スコア:0)
そうは言っても、まあ実際、何について「悪用」と言っているのかは大まかには妄想できるよね?
軽度なアスペの俺でも、これくらいならちゃんと察せるぜ。
もちろん、もし世の中の人間全員が技術的に厳密な世界で生きているのであれば
そりゃ厳密には「どこが悪用なのか」とツッコミ入るけどなw
Re: (スコア:0)
で、結局何が悪用なんですか?
「正規のドメイン」というのが他人のドメインということ?
他人のドメインのサブドメインの署名書を取得できる?
分かってるつもりってのが一番危ないんじゃ…
「レジストラ」や「レジストラの代理店」のアカウントを乗っ取られた後の話 (スコア:3)
Domain Shadowing [cisco.com] という攻撃方法は、「レジストラ」や「レジストラの代理店」のアカウント、例えば eNom とか お名前.com とか VALUE DOMAIN のアカウントを乗っ取り、正規のドメインに対してサブドメイン(自分のサイトのAレコードを登録)を作りまくって悪用する手口です。
レジストラのアカウントを乗っ取った以上は、サブドメイン以外を書き換えることも技術的には可能ですが、あえてサブドメインの追加のみに留めるているのはドメインの正規所有者に乗っ取られたことを気が付きにくくするためだと思います。サブドメインを勝手に追加しても、正規のサイトにはそのままアクセスできるので、乗っ取り行為の発覚を遅らせる効果があります。
ちなみに、Let's Encrypt ユーザーガイド(Webroot プラグイン) [letsencrypt.jp]によると、サブドメインに対する証明書を取得する場合、サブドメインのドキュメントルート以下に認証ファイルが設置できれば問題無いようです。
ということは、レンタルサーバに契約するとレンタルサーバ会社所有のドメインのサブドメインの使用権が与えられるようなケースの場合、レンタルサーバ契約者がレンタルサーバ会社所有のドメインのサブドメインで Let's Encrypt の証明書を取得できる仕様なようです。権限不足でレンタルサーバ上で Let's Encrypt クライアントが動作しない場合でも、Manual プラグインを使用すれば他のマシンでクライアントを実行できる(認証ファイルのみ手動で設置する)ので、同様に証明書が取得できてしまいます。
他の認証局のDV証明書だと、sub.example.com の証明書を取得する場合でも、
などへの認証用ファイルの設置を要求されるケースが多いので、一般的な認証局のDV証明書とは異なる仕様なようです。
Let's Encrypt は「ドメイン所有者」ではなく「ドメインやサブドメインの実質的な使用者」を認証するという考えなのでしょうね。
Re:「レジストラ」や「レジストラの代理店」のアカウントを乗っ取られた後の話 (スコア:1)
DNS CAAで拒否できるのでは?と書こうと思いましたが、そもそも乗っ取られた状況だとAだけでなくCAAも書き換えできるから、あまり意味がないですかね。
#なお、Let's EncryptはCAAを見るようだ。Certs for subdomains without the domain owner's permission - Issuance Policy - Let's Encrypt Community Support [letsencrypt.org]には、“Let's Encrypt supports the CAA standard”という回答がある。
Re:悪用? (スコア:2, 参考になる)
他人のドメインのサブドメインを不正に取得している。
不正に取得したサブドメインにLet's Encryptを使用して証明書をつけている(悪用している)。
証明書の取得自体は悪用じゃないけど、取得した証明書を悪用している。
下手なたとえはあまりしたくないけど、包丁を使って食材を切れば「正規の利用」だけど、それで人を脅したり刺したりしたら「
悪用」。
# で、TrendMicroは悪用が確認されたら取り消すべき(包丁のたとえなら回収かな)と提言し、Let's Encrypt側はそれはあまり意味がないと言っている
これでわかりましたか?
Re: (スコア:0)
そうなんだ。ありがとう。サブドメインのハイジャックか。
しかし、大まかに妄想したり察したりしている人はいつも大丈夫なんだろうか?
Re: (スコア:0)
どこかの誰かが著作権を侵害する形で映画のデータやらをYouTubeにアップロードしたら、「YouTubeの悪用」だろ?
他に表現しようもないから、そう聞いた側が何が起こってるかを正しく把握せにゃならん。
Re: (スコア:0)
レジストラのアカウントを乗っ取った行為に対して「DNSの悪用」って言うのは同意できるけど
Youtubeに映画を上げた時に「windows/chrome/インターネットの悪用」って言うかなあ
Re: (スコア:0)
>Youtubeに映画を上げた時に「windows/chrome/インターネットの悪用」って言うかなあ
何でもかんでも一般化して広げて行くと、「犯罪者は空気中の酸素を悪用」に行き着いてしまうので程度の問題だ、というのには同意。
そこでなぜ、DNSよりも特化したサービスである証明書の発行サービスを、より一般的な方向に例えて考えようとして混乱してるのかが不可解。
結論ありきで認識をねじ曲げてしまっているんではないか?
悪用なんてされ得ないから悪くないんだ、というように無理矢理考えても歪みが生じるだけ。
悪用されうるサービスは、ちゃんと悪用され得ると認める。そうしないと、適切な対応を取るべき、という議論に発展しない。
Let's Encryptに関していえば、今の運用で妥当だと多くの人が認識して支持して、この手の難癖を無視できる状態であれば良いだけ。