9月末でLet's Encryptルート証明書が期限切れ、古い製品は要注意
人気の高いSSL証明書認証局であるLet's Encryptが使っているルート証明書の有効期限が近づいている。「IdentTrust DST Root CA X3」で認識されるこのルート証明書の有効期限は2021年9月30日、つまり今月いっぱいまでだ。古いルート証明書から新しいルート証明書への移行は完全に透過的だが、実際には過去に問題が発生している。特に古いソフトウェアを使っている場合は注意が必要だ。 IdentTrust DST Root CA X3 セキュリティ研究者であるScott Helme氏は9月21日(英国時間)、「Let's Encrypt's Root Certificate is expiring!」において、今月末でLet's Encryptが使用しているルート証明書が有効期限を迎えることを指摘するとともに、過去の事例などを引き合いにしてどのような問題発生が懸念されるか
EV証明書を使用して既知の企業になりすませる可能性が指摘される | スラド セキュリティ
EV証明書を使用して既知の企業になりすませる可能性をセキュリティリサーチャーのIan Carroll氏が指摘している(実証ページ兼解説記事、 Ars Technicaの記事)。 EV証明書では厳格な審査が行われるとされ、アドレスバーが緑色に変われば安心ともいわれるが、実際には会社を設立すれば比較的簡単に取得できてしまうという。Safariの場合、EV証明書を使用したWebページではアドレスバーにURLが表示されず、発行先の会社名のみが表示されるため、本物のWebサイトに似たフィッシング用のドメインを取得しなくてもユーザーがだまされる可能性もある。9月にセキュリティ専門家のJames Burton氏は「Identity Verified」という会社を設立して取得したEV証明書を使用し、Safariで安全なWebサイトがGoogleやPayPalのログイン情報を要求しているかのように見える例を
メモ:EV証明書でブラウザのURLバーを緑色にするのもうやめない?という話 - Technically, technophobic.
またSleeviさんがなんかぶっこんでいるのでメモ。 https://groups.google.com/d/msg/mozilla.dev.security.policy/szD2KBHfwl8/kWLDMfPhBgAJ 「EV証明書でもフィッシングサイトつくれるよ」という報告 2017年9月の記事。 EV証明書を取得するには実在の団体の登記が必要だけど、そんなものDark Webで買えるよね、と*1。 So what does an attacker do? Well they can purchase a valid stolen ID for a few pounds from the so called "Dark web" and just use, a service address as the address of the company and the director
SSL証明書の有効期限確認に便利なツール「cert」 | DevelopersIO
こんにちは、コカコーラ大好きカジです。 「SSL証明書(サーバ証明書)の有効期限確認や証明書の種類を確認するのは面倒ですよね。」 OpensslのコマンドをGoogle検索して・・・というか、自分もそんな感じです。 同じな悩みを持った人いそうだなぁ・・・と思って調べたら解決していた人がいました。感謝です。 certとは SSL証明書(サーバ証明書)の情報取得ツールです。(MITライセンスです。) genkiroid/cert Cert is the Go tool to get SSL certificate information. 前提条件 MacOSXでの利用法を記載します。他のOSの場合は、Goが動作すれば動くようですので、上記URLのReadmeをご参照ください。 certのセットアップ brewを利用すれば簡単にインストールできます。 % brew tap genkiroid/
シマンテック、ウェブサイトのセキュリティとPKIソリューションの事業を売却へ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Symantecによるウェブサイトのセキュリティ事業は物議を醸してきているが、DigiCertへの売却が決定した結果、2018会計年度第3四半期中に新たな企業のもとで運営されることになった。 Symantecは現金で9億5000万ドルを受け取るとともに、手続き完了時にDigiCertの株式の30%を取得する。 Symantecはここ数カ月、同社のTransport Layer Security(TLS)証明書の信頼度を弱める手続きを開始しようとするGoogleとMozillaとの間で議論を続けてきている。Googleは先週、「Google Chrome 66」を2018年4月にリリースする際には、2016年6月1日よりも前に発行されたS
Apache Struts 2の脆弱性がヤバい、外部からサーバコマンドを実行
Apache Struts 2の脆弱性がヤバい、外部からサーバコマンドを実行:セキュリティクラスタ まとめのまとめ 2017年3月版(1/4 ページ) 2017年3月、セキュリティクラスタが注目したのは簡単に外部からサーバコマンドを実行できる「Apache Struts 2」の脆弱性。Symantecの発行する電子証明書にも話題が集まりました。 2017年3月のセキュリティクラスタは大騒ぎ。誰でも簡単に外部からサーバコマンドを実行できる「Apache Struts 2」の脆弱性が公表されたことが原因です。案の定、この脆弱性を使用している多数のWebサイトが攻撃を受けてしまいました。1月に話題となった「東京都税 クレジットカードお支払サイト」と2度目の被害となった「JINS」の被害が特に大きく、たくさんの人が興味を持ち、ツイートしていました。 Symantecの発行するSSL証明書をGoog
Symantecが再びGoogleの信頼を失った件についてのメモ - Technically, technophobic.
(初めに言い訳しておくと、証明書界隈については詳しくないです。某誤訳量産サイトが適当な記事を書いていたので、なにか書かねばと思って書いているという程度のまとめ記事です。間違いなどあればご指摘ください) 何が起こるのか Ryan Sleeviさん(Googleの人)がBlink-devのメーリングリストに投稿したこれにまとまっています:https://groups.google.com/a/chromium.org/d/msg/blink-dev/eUAKwjihhBs/rpxMXjZHCQAJ 経緯についてはいったん飛ばして、どのようなアクションが提案されているのか見ます。 To restore confidence and security of our users, we propose the following steps: A reduction in the accepted
グーグルの開発チーム、シマンテック発行の証明書に激しい不信感
(出所:米グーグル、https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/eUAKwjihhBs) 開発チームが同社のオンラインフォーラムに投稿した内容によると、同チームは1月19日以降、シマンテックが発行した証明書の問題点について調査してきたという。 その調査中、同チームがシマンテックに問い合わせるたびに、不適切に発行された証明書の件数が増えていったとする。当初は127件だったのが、3万件以上にまで増加。しかも、これらの証明書は数年間にわたって発行されていたという。 グーグルは、2015年10月にもシマンテックの証明書発行の問題について対応を要求している。シマンテック傘下の認証局が、グーグルの許可なしに「google.com」などの証明書を発行していたという。
JVNTA#96603741: HTTPS 通信監視機器によるセキュリティ強度低下の問題
多くの組織で、マルウェア検知などの目的のために HTTPS 通信の監視を行うネットワーク機器が導入されています。 CERT/CC は 2015年3月のブログ記事 The Risks of SSL Inspection において、HTTPS 通信監視機器の導入によるセキュリティ上のトレードオフについて論じています。 HTTPS 通信監視機器を導入する場合、その製品が Transport Layer Security (TLS) の証明書検証を適切に行っていることを確認してください。TLS による適切な保護がなされない状態で通信が行われたり、検証失敗を示すエラーメッセージをクライアントアプリケーションに伝えなかったりする製品は、HTTPS で保護されるべき通信のセキュリティ強度を低下させます。 TLS やその前身である Secure Sockets Layer (SSL) は、クライアントとサ
Google、ルート証明書発行の独自インフラを構築
ルート認証局はGlobalSign R2とR4を取得した。これまでは、ルート証明書を製品に組み込んで、そうした製品に関連したバージョンが広範に導入されるのを待つ時間がかかっていたが、ルート認証局を取得したことで証明書をタイミング良く発行できるようになると見込んでいる。 下位認証局GIAG2の運営は今後も続ける方針で、ルート認証局の取得やTrust Servicesを通じて新しい独立したインフラへの移行を目指す。 今後はGoogle製品に接続する製品を開発する場合、Google Trust Servicesが運営するルート証明書が必要になる。ただしGoogleは独自のルート認証局を運営しながら、サードパーティーが運営するルートの下で下位認証局を運営する場合もあるとしている。 証明書を巡っては、認証局による不正な証明書の発行が発覚して主要ブラウザが対応を迫られたり、米Symantecの認証局が
モジラ、中国の認証局WoSignが新たに発行するデジタル証明書のブロックを提案
Mozillaは、WoSignが新たに発行するデジタル証明書をブロックする意向だ。WoSignは、GitHubの偽のHTTPS証明書を発行した中国の認証局(CA)である。 Mozillaはイスラエルに拠点を置く認証局StartComをブロックすることも提案している。WoSignは2015年11月にStartComを買収したが、何らかの理由で、同CAの所有権を取得したことを否定した。 Mozillaは、両認証局が新たに発行する証明書を1年間ブロックすることを提案している。その後、WoSignとStartComはMozillaの信頼プログラムへの参加を再申請しなければならない。WoSignは中国で新たに発行する証明書に関して、今後も信頼性を保証してほしいとMozillaに要請したが、Mozillaはこれを却下した。 ウェブユーザーへの影響を最小限に抑えるため、Mozillaは既存の証明書につい
中国最大級の認証局「WoSign」がニセの証明書を発行していたことが判明
by Barney Moss 無料でSSL証明書を発行してくれることで、多くの自宅サーバーユーザーに重宝されている中国最大級の認証局「沃通(WoSign)」が、「偽物の証明書」を大量に発行していたことが明らかになりました。 The story of how WoSign gave me an SSL certificate for GitHub.com | Schrauger.com https://www.schrauger.com/the-story-of-how-wosign-gave-me-an-ssl-certificate-for-github-com Thoughts and Observations: Chinese CA WoSign faces revocation after possibly issuing fake certificates of Github,
【セキュリティ ニュース】フィルタリング製品が不正なルート証明書を使用 - 秘密鍵が漏洩(1ページ目 / 全1ページ):Security NEXT
Content Watchが提供するフィルタリングソフトの「Net Nanny」が、問題あるルート証明書を端末内にインストールすることがわかったとして、セキュリティ機関が注意を喚起した。不正なサイトを信頼したり、暗号化通信が盗聴されるおそれがある。 同製品は、通信を中継するプロクシとルート証明書を端末内にインストールするが、製品で共通の秘密鍵とルート証明書を使用。くわえて秘密鍵はソフト内部に平文で保存されており、取り出すことが可能だという。 同製品利用者は、この秘密鍵によって作成された自己署名証明書によるHTTPS通信を信頼してしまうため、フィッシングサイトに用いられたり、暗号化通信の盗聴などに悪用されるおそれがある。 セキュリティ機関は、「同7.2.4.2」において脆弱性を確認しており、他バージョンも影響を受けるおそれがあると指摘。 4月21日の段階で対策はわかっておらず、セキュリティ機
中国認証局がGoogleの決定を非難、証明書の失効を巡り
米Googleは現地時間2015年4月1日、中国インターネット情報センター(CNNIC:中国互聯網絡信息中心)の証明書を今後信用しないと発表した。複数の海外メディアの報道によると、CNNICは同社の決定を非難している。 同社は3月20日、複数のGoogleドメインに対して不正なデジタル証明書が発行されていることを確認。証明書は「MCS Holdings」というエジプト企業の中間認証局(CA)から発行された。中間CA証明書はCNNICが発行したもので、CNNICはすべての主要ルートストアに含まれているため、ほとんどのブラウザーとOSがその不正デジタル証明書を信用してしまう危険性がある。GoogleはただちにCNNICと他の主要ブラウザーに連絡し、MCS Holdingsのデジタル証明書を遮断する措置をとった。 GoogleはCNNICと共同で調査を行った結果、今後CNNICが新たに発行するル
GoogleやMozillaが中国の認証局が発行する証明書を「信頼できないもの」として失効させる
Google ChromeとMozillaのFirefoxが、中国の認証局(CA)である「CNNIC」が発行する証明書を「信頼できないもの」として一時的に失効させることを発表しました。 Google Online Security Blog: Maintaining digital certificate security http://googleonlinesecurity.blogspot.jp/2015/03/maintaining-digital-certificate-security.html Distrusting New CNNIC Certificates | Mozilla Security Blog https://blog.mozilla.org/security/2015/04/02/distrusting-new-cnnic-certificates/ Goo
Googleドメイン用に不正なデジタル証明書、主要ブラウザが失効措置
不正な証明書はコンテンツ偽装や通信に割り込む中間者攻撃などに利用される恐れがあるとされ、GoogleやMicrosoft、Mozillaは問題の証明書を失効させる措置を講じた。 米Googleは3月23日、複数のGoogleドメイン用に不正なデジタル証明書が発行されていたことが分かり、問題の証明書を失効させたと発表した。不正な証明書はコンテンツ偽装や通信に割り込む中間者攻撃などに利用される恐れがあるとされ、Googleから連絡を受けたMicrosoftやMozillaも同様の措置を講じている。 各社の説明によると、問題の証明書はMCS Holdingsという下位認証局を通じて発行されていた。MCS Holdingsは、信頼できるルート認証局である中国のChina Internet Network Information Center (CNNIC)の下位にある認証局で、CNNICもMCS
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Chrome58になると自己署名の証明書がエラーになるので、OpenSSLに詳しくなった話 | Tech Blog | CRESCO Tech Blog
Symantec発行のSSL/TLS証明書、Google Chromeで段階的な期限短縮案 
JVN、HTTPS通信監視機器によるセキュリティ強度低下の問題について発表 - SecurityInsight | セキュリティインサイト
「メールのみ確認」のSSL証明書不正取得問題、影響を受けないベンダ一覧(CERT/CC) | ScanNetSecurity
