パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Let's Encryptの証明書、不正広告攻撃に悪用される」記事へのコメント

  • by Anonymous Coward on 2016年01月11日 10時35分 (#2947443)

    どこが悪用なんでしょうか?
    よく分かりませんでした。
    「正規のドメイン」というのが他人のドメインということですか?

    • by Anonymous Coward on 2016年01月11日 10時59分 (#2947453)

      なんでもかんでも「不正」「悪用」の一言で済ますから誤解が発生する、という典型例だな。

      サーバの管理者権限を盗まれたわけでもなし、
      証明機関の機密鍵が漏れたわけでもなし、
      TrendMicroは証明機関に責任を押しつけすぎだ。

      親コメント
    • by Anonymous Coward

      そうは言っても、まあ実際、何について「悪用」と言っているのかは大まかには妄想できるよね?
      軽度なアスペの俺でも、これくらいならちゃんと察せるぜ。

      もちろん、もし世の中の人間全員が技術的に厳密な世界で生きているのであれば
      そりゃ厳密には「どこが悪用なのか」とツッコミ入るけどなw

      • by Anonymous Coward

        で、結局何が悪用なんですか?
        「正規のドメイン」というのが他人のドメインということ?
        他人のドメインのサブドメインの署名書を取得できる?

        分かってるつもりってのが一番危ないんじゃ…

        • 「正規のドメイン」というのが他人のドメインということ? 他人のドメインのサブドメインの署名書を取得できる?

          Domain Shadowing [cisco.com] という攻撃方法は、「レジストラ」や「レジストラの代理店」のアカウント、例えば eNom とか お名前.com とか VALUE DOMAIN のアカウントを乗っ取り、正規のドメインに対してサブドメイン(自分のサイトのAレコードを登録)を作りまくって悪用する手口です。

          レジストラのアカウントを乗っ取った以上は、サブドメイン以外を書き換えることも技術的には可能ですが、あえてサブドメインの追加のみに留めるているのはドメインの正規所有者に乗っ取られたことを気が付きにくくするためだと思います。サブドメインを勝手に追加しても、正規のサイトにはそのままアクセスできるので、乗っ取り行為の発覚を遅らせる効果があります。

          ちなみに、Let's Encrypt ユーザーガイド(Webroot プラグイン) [letsencrypt.jp]によると、サブドメインに対する証明書を取得する場合、サブドメインのドキュメントルート以下に認証ファイルが設置できれば問題無いようです。

          ということは、レンタルサーバに契約するとレンタルサーバ会社所有のドメインのサブドメインの使用権が与えられるようなケースの場合、レンタルサーバ契約者がレンタルサーバ会社所有のドメインのサブドメインで Let's Encrypt の証明書を取得できる仕様なようです。権限不足でレンタルサーバ上で Let's Encrypt クライアントが動作しない場合でも、Manual プラグインを使用すれば他のマシンでクライアントを実行できる(認証ファイルのみ手動で設置する)ので、同様に証明書が取得できてしまいます。

          他の認証局のDV証明書だと、sub.example.com の証明書を取得する場合でも、

          • http(s)://example.com/key
          • http(s)://www.example.com/key

          などへの認証用ファイルの設置を要求されるケースが多いので、一般的な認証局のDV証明書とは異なる仕様なようです。

          Let's Encrypt は「ドメイン所有者」ではなく「ドメインやサブドメインの実質的な使用者」を認証するという考えなのでしょうね。

          親コメント
        • Re:悪用? (スコア:2, 参考になる)

          by Anonymous Coward on 2016年01月11日 13時44分 (#2947494)

          他人のドメインのサブドメインを不正に取得している。
          不正に取得したサブドメインにLet's Encryptを使用して証明書をつけている(悪用している)。

          証明書の取得自体は悪用じゃないけど、取得した証明書を悪用している。

          下手なたとえはあまりしたくないけど、包丁を使って食材を切れば「正規の利用」だけど、それで人を脅したり刺したりしたら「
          悪用」。

          # で、TrendMicroは悪用が確認されたら取り消すべき(包丁のたとえなら回収かな)と提言し、Let's Encrypt側はそれはあまり意味がないと言っている

          これでわかりましたか?

          親コメント
          • by Anonymous Coward

            そうなんだ。ありがとう。サブドメインのハイジャックか。

            しかし、大まかに妄想したり察したりしている人はいつも大丈夫なんだろうか?

    • by Anonymous Coward

      どこかの誰かが著作権を侵害する形で映画のデータやらをYouTubeにアップロードしたら、「YouTubeの悪用」だろ?
      他に表現しようもないから、そう聞いた側が何が起こってるかを正しく把握せにゃならん。

      • by Anonymous Coward

        レジストラのアカウントを乗っ取った行為に対して「DNSの悪用」って言うのは同意できるけど
        Youtubeに映画を上げた時に「windows/chrome/インターネットの悪用」って言うかなあ

        • by Anonymous Coward

          >Youtubeに映画を上げた時に「windows/chrome/インターネットの悪用」って言うかなあ

          何でもかんでも一般化して広げて行くと、「犯罪者は空気中の酸素を悪用」に行き着いてしまうので程度の問題だ、というのには同意。

          そこでなぜ、DNSよりも特化したサービスである証明書の発行サービスを、より一般的な方向に例えて考えようとして混乱してるのかが不可解。
          結論ありきで認識をねじ曲げてしまっているんではないか?

          悪用なんてされ得ないから悪くないんだ、というように無理矢理考えても歪みが生じるだけ。
          悪用されうるサービスは、ちゃんと悪用され得ると認める。そうしないと、適切な対応を取るべき、という議論に発展しない。

          Let's Encryptに関していえば、今の運用で妥当だと多くの人が認識して支持して、この手の難癖を無視できる状態であれば良いだけ。

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...