認証局のSSL証明書発行に問題? 不正取得で攻撃の恐れも
メールアドレスでドメイン所有者を確認している一部の認証局について、米機関などが問題視している。SSL証明書が不正入手され、盗聴行為などに悪用される可能性があるという。 SSL証明書を発行する一部のルート認証局が、メールアドレスで申請者がドメイン所有者であるかを確認している行為について、米CERT/CCなどのセキュリティ機関が問題視している。CERT/CCは「メールではドメイン所有者が正しい存在であることを証明できない」とコメント。第三者が不正にSSL証明書を取得して、悪質なHTTPSサイトを構築したり、暗号化通信の内容を盗聴したりする可能性があるという。 一般的にルート認証局は、証明書の発行を依頼した人物がドメイン所有者、もしくはドメイン所有者から了承を得た立場であることを厳密に確認してから証明書を発行する。証明書の発行を受けたドメイン側は、アクセスするユーザーに証明書を提示し、ユーザーは
現地取材! 米Symantec認証局の厳格「SSL認証プロセス」
フィッシング詐欺による被害が後を絶たない。オンライン・バンキングやネット・ショッピングを利用するユーザーの増加や、クラウド・ストレージ・サービスなどの普及を背景に、これらユーザーを狙った「偽サイト(成り済まし)」の数は増加の一途をたどっている。 2013年6月、日本フィッシング対策協議会が発表した2012年のフィッシング情報報告件数は828件で、対前年比で約66%増となった。また、同年のフィッシングサイト件数は2286件で、対前年比で293%増だった。 フィッシング詐欺の防止対策として有用なのが、SSL(Secure Socket Layer)サーバ証明書だ。信頼できる第三者機関(認証局)がWebサイト運営者の身元を確認し、独自の審査基準に基づいて証明書を発行する。その仕組みは次の通りだ。 ユーザー(クライアント)が利用するWebブラウザには、認証局のルート証明書があらかじめ登録されている
そんな認証局で大丈夫か?ベリサインが指摘するWebの課題
2月8日、日本ベリサインはSSLサーバーの認証局や証明書などを用いたWebセキュリティに関する勉強会を開催した。発生した偽造証明書の事件などを引き合いに、認証局の選び方や業界標準化の流れ、さらにSSLの暗号アルゴリズムの強度に関するトピックが紹介された。 事件は認証局で起きていた! 勉強会の冒頭、日本ベリサイン SSL製品本部 プロダクトマーケティングチーム アシスタントマネージャー 上杉謙二氏は、まず前提となる認証局とSSLの仕組みについて説明を行なった。 ご存じの通り、SSLサーバー証明書は、Webブラウザから通信相手となるWebサーバーを認証するもの。認証局(CA)と呼ばれる証明書発行機関が、独自の安全基準に基づいて証明書を作成し、サーバー管理者はこれをWebサーバーに登録。一方、WebブラウザにはCAのルート証明書がプレインストールされており、通信時にはこのルート証明書とWebサー
証明書偽造事件の原因はSSLの仕組みにあるのではない――日本ベリサイン - @IT
2012/02/09 日本ベリサインは2月8日、「認証局の安全性とSSLサーバ証明書の暗号強度」というテーマで記者向け説明会を開催し、電子証明書を発行する認証局を取り巻く最近の動向について説明した。 2011年は、電子証明書の発行を業とするComodoやDigiNotarといった企業が不正アクセスを受けるという事件が発生した。認証局(CA)は、証明書の発行を受ける企業の身元を審査する登録局(RA)と、実際の発行業務を行う発行局(IA)から構成されるが、Comodoの場合は業務を委託していたRAが、DigiNotarのケースではIAがそれぞれ不正アクセスを許し、偽造証明書を発行されるという事態に陥った。 この結果、「電子証明書」や「SSL」という仕組みに対する不審感を抱いたユーザーもあった。しかし、日本ベリサイン SSL製品本部 プロダクトマーケティングチーム アシスタントマネージャの上杉謙
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
日本ベリサイン - Enterprise & Internet Security Solutions
