パスワードを忘れた? アカウント作成
751098 story
セキュリティ

オランダの認証局で不正侵入が発覚、不正なSSL証明書が発行される 19

ストーリー by hayakawa
とりあえずブラウザ等のアップデートを適用すれば大丈夫か? 部門より
あるAnonymous Coward 曰く、

IT Mediaの記事によると、オランダのSSL認証局であるDigiNotarの認証局インフラに対する不正侵入が発覚し、これによりGoogle.comを含む多数のSSL証明書を不正に発行してしまったそうだ。/.でも取り上げられている

同様の事件は、今年の3月にComodo Groupでも発生している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • せめて (スコア:2, 参考になる)

    by Anonymous Coward on 2011年09月01日 13時21分 (#2012822)

    各ブラウザの案内ページへのリングぐらい乗せましょうよ
    Microsoft
    http://internet.watch.impress.co.jp/docs/news/20110830_473961.html [impress.co.jp]
    Google
    http://internet.watch.impress.co.jp/docs/news/20110831_474188.html [impress.co.jp]
    ほか・・・

    ってここの住民には無用か・・・

  • Interenet Explorer はブラウザー自体更新しないのに、Firefox や Chrome はブラウザーの更新をするのですね。
    IE 以外は CRL や OCSP に対応していないのかなあ。
    • by Anonymous Coward on 2011年09月01日 13時54分 (#2012855)

      IEはOSの証明書ストアを参照していてOSの証明書ストアはWindows Updateで自動更新されるけど、Firefoxの証明書ストアはバイナリとしてDLLに埋め込まれているから。あと認証局証明書から削除するだけでは不十分だとして、DigiNotarの証明書に対する特別処理のコードを追加している(Comodoのときと同様)。
      Chromeは知らないけどそもそもこの問題が発覚したのはChromeが内部に「正当な」Googleの証明書のシリアル化何かをハードコードしていて、それと一致しなかったDigiNotarの証明書に警告が出されたからなので、Chromeもハードコードされた何かを更新するのではないかな。

      親コメント
      • by Hebikuzure (489) on 2011年09月01日 17時38分 (#2012990) ホームページ 日記
        マイクロソフトのアドバイザリ (http://www.microsoft.com/japan/technet/security/advisory/2607712.mspx) を見る限りでは、証明書ストアの更新を配信したのではなく、OCSP 検証と CLR で無効にするとされていますね。
        OCSP 自体は標準規格なので他のブラウザーでも実装しているはず (http://ja.wikipedia.org/wiki/Online_Certificate_Status_Protocol) ですが、IE 以外はこれだけでは不十分と言う事なのか、それともどこかに問題の証明機関に関してハードコードされた部分があるのか、どちらかなんでしょうね。
        親コメント
        • by Anonymous Coward on 2011年09月01日 19時14分 (#2013026)

          > すべてのサポートされるエディションの Windows Vista、Windows 7、Windows Server 2008 および Windows Server 2008 R2 は証明機関により信頼が確認されるマイクロソフトの証明書信頼リストを使用しています。 これらのオペレーティング システムを使用しているユーザーについて、必要なアクションはありません。マイクロソフトは、既にマイクロソフトの証明書信頼リストから DigiNotar のルート証明書を削除しました。
          これがOCSPやCRLのことだとは読めないんだけど。OCSPやCRLの情報はマイクロソフトじゃなくて認証局や証明書の発行者が作成するものだし。
          > デジタル証明書に署名した証明機関 (CA) によりホストされている OCSP レスポンダーに接続することにより、
          今回の場合署名したのはDigiNotar自身でしょ。OCSPでルート証明書を失効させられるとも思えないんだけど。
          アドバイザリのFAQをよく読めばわかるけど、DigiNotarのルート証明書じゃなくてそれを使って発行された不正な証明書を失効させるためにOCSPとCRLを使うって書いてるよ。
          Firefoxが追加したコードは、不正に発行された*.google.comの証明書のコードをユーザーが「またオレオレか」と追加できないようにするものと、DigiNotarの証明書は今回のルート証明書だけではなく他のCAからクロス署名されて中間証明書として使われているものが大量にあるから、CNでマッチを掛けてブロックするというもの。

          親コメント
          • という事で、調べてみました。こういう事のようです。
            • Windows Vista 以降の Windows では、元々 OS の証明書ストアには Windows 自身が依存しているルート証明書などしか含まれていない
            • それ以外の証明書は、それが提示された際に自動的に Windows Update サイトに接続して (ルート証明書がマイクロソフトの「Windows ルート証明書プログラム」のメンバーであれば) 必要なルート証明書だけインストールされる
            • Windows ルート証明書プログラムの証明書信頼リスト (CTL) から DigiNotar は除外された
            • そのため既に DigiNotar のルート証明書がインストールされている環境以外では、今後 DigiNotar のメート証明書がインストールされる事は無く、このルート証明書に依存する証明書はすべて無効になる
            • 既に DigiNotar のルート証明書がインストールされている環境では、OCSP または CRL の機構によって DigiNotar のルート証明書に依存する証明書が失効される (はずである)

            で、おそらく Windows ルート証明書の更新が行われるタイミングで、既にインストールされている DigiNotar のルート証明書が削除されるのではないかと思います。
            Windows XP では Windows Vista 以降と違ってルート証明書をオンデマンドでインストールする仕組みが無い上に、CLR の確認も既定では無効なので、Windows Update で「ルート証明書の更新プログラム」が提供されないとだめなんですね。

            親コメント
    • by Anonymous Coward

      こういうのってその後証明書の会社はどうなっちゃうの?
      商売にならなくなるんだよね?

  • by Anonymous Coward on 2011年09月01日 13時49分 (#2012853)

    Macのブラウザで、OSのキーチェーンを使っているものは、/Applications/Utilities/Keychain Access.app で削除可能。

  • 自分は真っ先にスマホ(特にGoogleが有った事からAndroid)やら、SSL対応のガラケーの対応が気になりましたが誰も話題にしないんですね。
    コード証明書もそうだし。

    先月の8/10にChromeをIEからの自動インストール時にオレオレルート署名になってたけど、アレはやっぱり偽物だったのだろうか・・・

  • by Anonymous Coward on 2011年09月02日 7時21分 (#2013211)

    FireFoxが6.01にアップデートした際の変更点
    [SSL 証明書の不正発行 が明らかになった DigiNotar 社のルート証明書を無効化しました]って
    これのことなんですね
    http://mozilla.jp/firefox/6.0.1/releasenotes/ [mozilla.jp]

  • by Anonymous Coward on 2011年09月01日 13時47分 (#2012849)

    認証局の認証局が出来るのも時間の問題なんだろうか

    # ログインしているのにログインにならない・・・

    • by i_i (22332) on 2011年09月02日 23時07分 (#2013666) 日記

      現状だとMicrosoftとかMozilla、あと携帯電話各社がそういう役割を担っているようなもんかと。
      不特定多数にサーバ証明書売るならブラウザへの搭載は死活問題だし(入札用とか特定業種専用の証明書屋は別)、古い携帯にも対応している業者の証明書は値段に見合う値打ちがあると考えられたりするし。

      親コメント
    • by Anonymous Coward

      そして、認証局の認証局の認証局ができるんですね

    • by Anonymous Coward

      どこぞやの国の格付け会社を思い出しますね。

    • by Anonymous Coward

      ピコーン!「俺がルートCAになればいいんじゃん!」

      • by Anonymous Coward

        DigiNotar「教官!私、ドジでのろまな亀です!」

  • 昨夜遅く(今朝早く)、MacのTwitterクライアント「夜フクロウ(Yorufukurou)」でアプリ認証のループにはまる問題が出てました。今朝起動したら勝手に直ってたので向こうの問題だったみたいですけど、他のTwitterクライアント(itsy, Syrinx)では問題なかったので何が原因だったのか…

    この件と関係ありそうですか?

typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...