アカウント名:
パスワード:
まあ普通の人は軽く見てないだろうけど。この例を見ても分かるように、相手にすべてを差し出すぐらいの意味がある。
スラドはSectigo Limitedという認証局が発行した証明書をつかっているけど、カザフスタンのROOT証明書があったら、スラドとの通信を見られたり、改ざんしたりできるの?
もっというとROOT証明書を発行している団体は、すべてのHTTPS通信を読もうと思えば、読み放題ってこと?
カザフスタンのROOT証明書の偽サーバを作り、通信をプロキシすることでできる。ブラウザは証明書が違うものに変更されても、ルート証明書からチェーンしていれば何の警告も表示しないからね。
ユーザが証明書を確認すれば、「あれ?なんでスラドがカザフスタンの認証局になったのだろう?」と気が付くが、主要ブラウザは認証局名を確認するのに2クリック以上いるので、わざわざやる人は1%も居ないだろう。
偽の証明書を署名することができます。その証明書を使ってプロキシサーバを動かすことで、中間者攻撃ができます。本物の証明書を持った本物のサーバに直結されては意味がなく、偽の証明書を使って偽のサーバを本物だと信じ込ませることで攻撃が成立します。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
ルート証明書を軽く見てはいけない (スコア:1)
まあ普通の人は軽く見てないだろうけど。
この例を見ても分かるように、相手にすべてを差し出すぐらいの意味がある。
Re: (スコア:0)
スラドはSectigo Limitedという認証局が発行した証明書をつかっているけど、カザフスタンのROOT証明書があったら、スラドとの通信を見られたり、改ざんしたりできるの?
もっというとROOT証明書を発行している団体は、すべてのHTTPS通信を読もうと思えば、読み放題ってこと?
できる (スコア:3, 参考になる)
カザフスタンのROOT証明書の偽サーバを作り、通信をプロキシすることでできる。
ブラウザは証明書が違うものに変更されても、ルート証明書からチェーンしていれば何の警告も表示しないからね。
ユーザが証明書を確認すれば、「あれ?なんでスラドがカザフスタンの認証局になったのだろう?」と気が付くが、
主要ブラウザは認証局名を確認するのに2クリック以上いるので、わざわざやる人は1%も居ないだろう。
Re:ルート証明書を軽く見てはいけない (スコア:3)
偽の証明書を署名することができます。その証明書を使ってプロキシサーバを動かすことで、中間者攻撃ができます。
本物の証明書を持った本物のサーバに直結されては意味がなく、偽の証明書を使って偽のサーバを本物だと信じ込ませることで攻撃が成立します。