HTTPサイトのドメインを奪われてHSTSを有効化されたら - Qiita

はじめに 最近lovelive-anime.jpドメインが何者かによって移管され一時的にその者の手に渡った。もともとの管理者によってすでに取り戻されたが、攻撃者は一時的にこのドメインに対する全権を握った。この記事では、あくまでも思考実験として攻撃者が他人のHTTPサイトを運用しているドメインの全権を握ったときに、攻撃者が**HSTS(HTTP Strict Transport Security)**を有効にしてしまった場合どうなるかについて考える。まずはHSTSについて簡単に説明し、そしてその後で今回筆者が考えた攻撃について議論し、最後にまとめを述べる。 この記事を読んでわからないことや改善するべき点を見つけた場合は、気軽にコメントなどで指摘してほしい。 攻撃者によるHSTSの有効化 ここではHSTSに関する説明と、筆者が考える攻撃（？）について説明する。 HSTSとは HSTSとは、HT

[dowhile]

サービスをhttps化してほしかったらドメインを奪えばいいのか

[otchy210]

一時的に取得していたドメインで発行した証明書を利用した中間者攻撃の方が本質的には怖いな。

[suika3417]

いい加減にhttps化しろ攻撃か（違う

[t-tanaka]

だれか，b.hatena.ne.jpのっとって，これやってくれないかな。

[eru01]

そもそも2019年にもなったんだからHTTPS化してないサイトとかおらんやろｗ https://www.hatena.ne.jp/

[yoshi-na]

“DNSのMXレコードを書き換えてメールを盗むといった行為も考えられる” 最期にさらっと書いてるこれが実は相当怖いよねー

[deep_one]

地味な嫌がらせ。／「他人によって発行された証明書をリボークする手立ては見つけられなかった」こっちは実害がある話だな。ドメインを支配出来ていたら汎用JPのSSL証明書は取れそう。co.jpだと最近は小うるさい。

[tmatsuu]

HSTS、すでに覚えさせられたブラウザに対してmax-age=0で短くできたっけ？ドメインを奪った上でめちゃくちゃ長いTTLをDNSレコードに設定しDNSSEC有効化、さらにHSTSとHPKP設定でフルコンボだ。

[tailtame]

ドメイン取り戻してもユーザは https に接続させられて元のページが見れない嫌がらせ…。例えのドメインは example でサブドメインのほうがよくないすか

[rjge]

”HSTS有効化攻撃（？）” “ここではHSTSを利用した攻撃（？）について述べた” クエスチョンマークが趣深い

[mas-higa]

安全のために HSTS 非対応のブラウザを使おう

[nmcli]

無料でTLS証明取れるようになったからまだいいものの、数年前にやられてたら少々腹立たしい

[hayashikousun]

ラブライブの中の人はこの記事に書いてある事やったのかな？

[naari_3]

なるほどHTTPS化対応してほしければドメインを奪えばよいのか

[Fushihara]

https化して欲しければ(ry

[knjname]

はてなブックマークとかいうサービスにこれやってほしいな

[anoncom]

さらに hstspreload.org に登録されちゃうと回復はなかなか難しくなりそう。ドメイン運用者側がこのあたり把握出来てれば対応早そうだけど疎いと大変そう。素直に自分の証明書取るのが一番早そう。

[kuracom]

興味深い

[JULY]

「他人によって発行された証明書をリボークする手立て」Let's Encrypt のような、お手軽発行のサービスでは、こういったケースの運用を想定しているとは思えないなぁ。

[chikoshoot]

そいうえばギガジンのあれと似た話だな。

[tech0403]

ドメイン奪われたらもっと悪質な事が色々できる気がするんだが。HSTS有効化でそこまで困る状況があまり想像できなかった。chromeで警告でるようになって1年近く経とうとしてるんだから、むしろいいキッカケなのでは。

[mrmt]

たいへんだw うけるww

[h5y1m141]

その間にこのような攻撃されていたら、奪われたドメイン復帰後に考えないといけないことが色々（DNSにどんなレコード登録したか等）あるのか。自分の知識不足でなかなか理解進まなかったけど勉強になった

[cou929]

？