Google所有ドメイン向けの不正証明書が発行されていた | スラド セキュリティ
Googleが所有する複数のドメインに対する不正な電子証明書が発行されていたことが12月3日に発見されたとのこと(Google Online Security Blog、ITmedia)。 影響するドメインはgoogle.com、youtube.com、.google.co.jpなど広範囲におよぶ。各ブラウザーベンダーは既に対応を表明しているので、更新情報には注意して欲しい。 この不正な電子証明書は、プライベートなネットワーク内で、そのネットワーク内のユーザーのGoogle関連サイトに対する暗号化通信を調査するために使われていたことが分かっているとのこと。プライベートネットワーク内で暗号化されたトラフィックをチェックしたい、という需要は企業内のファイアウォールなどで一定数あるようだ。
Certificate and Public Key Pinning | グローバルサインブログ
Chromeではgoogle.comに発行する正規な認証局をPinningしています。たとえ、信頼されたルート証明機関ストアに含まれた認証局からgoogle.comの証明書が発行されたとしても、Pinning のリストにない場合は警告表示が行われます。ほとんどの人はこの件が起きるまで、この技術がChromeに実装されていることを知りませんでした。 この件がきっかけでPinningの有効性は十分に認知され、Pinningをアプリケーション側に実装することでCA側による危殆化による不正な発行、または誤発行によるトラブルの拡大を防げることは実証されました。今後はPinningのリストを拡大していくことが課題かと思いますが、IETFのドラフトにおいても拡大には問題があると提示されています。 今後の動き Pinningをユーザーエージェント提供側にてハードコード化し、展開していくには慎重な対応が要求
Operaに不正アクセス、コードサイニング証明書悪用でマルウェア配布の恐れ
Operaに不正アクセス、コードサイニング証明書悪用でマルウェア配布の恐れ:ウイルス対策ソフトでの検出は可能 ノルウェーのOpera Softwareが標的型攻撃を受けた。攻撃者がコードサイニング証明書を手に入れ、Webブラウザ「Opera」の自動更新機能を悪用して悪意あるソフトウェアを配布した恐れがある。 ノルウェーのOpera Softwareは6月26日、標的型攻撃を受けたことを明らかにした。この結果、攻撃者がコードサイニング証明書を手に入れ、Webブラウザ「Opera」の自動更新機能を悪用して悪意あるソフトウェアを配布した恐れがあるという。 Opera Softwareが攻撃を受けたのは6月19日。内部ネットワークインフラに侵入され、ソフトウェアの配布元を認証し、改ざんされていないことを保証する役割を果たすコードサイニング証明書にアクセスされた。 攻撃者はこのコードサイニング証明書
JIPDEC、行政書士が確認した企業情報DB「ROBINS」を開始
日本情報経済社会推進協会(JIPDEC)は2013年2月18日、日本行政書士会連合会と連携した企業情報データベースサービス「事業者等総合情報基盤ROBINS(ロビンズ)」の実証事業を開始したと発表した。行政書士など資格者が信ぴょう性を確認した情報だけを掲載するという企業情報DBで、情報掲載企業からの掲載料(1年間9000円など)を元に運営する。 今回の実証事業では、東京都行政書士会と神奈川県行政書士会の行政書士を通じて、企業が情報をROBINSに登録できるようになる。当面は、インターネットで自社の実在性を証明しにくい中小企業を対象としたDBサービスとするが、将来的には企業に割り当てられた様々な企業コードの紐付けが可能なDBサービスとする考えだ。またROBINSでは、ROBINS独自の情報以外に、「標準企業コード」「プライバシーマーク指定審査機関コード」「EDINETコード」の約3万2000
GMOグローバルサイン、試験提供していたSSLチェックツールを正式公開
GMOグローバルサインは12月4日、SSLサーバー証明書の設定状況や信頼性を確認できる無料のWebサービス「SSLチェックツール」を正式に公開した。同ツールはこれまで試験的に公開されていた。 通常、SSLサーバー証明書の設定状況や信頼性などを確認するためには、そのつどWebブラウザを通じて情報を確認しなければならない。SSLチェックツールはその手間を省くためのもので、SSLサーバー証明書の発行元を問わず、フォームにSSLサーバー証明書のコモンネームを入力するだけでSSLサーバー証明書の設定状況や信頼性などを確認できる。 同ツールで確認できる主な項目は「SSLサーバ証明書のステータス」「証明書の設定状況」「SSLサーバ証明書の信頼性」「サーバの安全性」の4つで、結果表示画面ではこれらの項目の評価をあわせた総合得点も見ることができる。
【セキュリティ ニュース】「ベリサイントラストシール」で登記事項証明書の取得を無償代行 - 日本ベリサイン(1ページ目 / 全1ページ):Security NEXT
日本ベリサインは、サイト運営者の実在を証明する「ベリサイントラストシール」の手続き時に必要な登記事項証明書の取得を、無償で代行するサービスを開始した。 「ベリサイントラストシール」は、同社がウェブサイト運営者の実在性を確認。マルウェアチェックに合格したウェブサイトに「ノートンセキュアドシール」を表示することで、サイト利用者が信頼性を確認できるソリューション。 新規申請時や更新時の企業認証プロセスにおいて、登記事項証明書が必要となる場合があり、企業担当者における実務上の負担となるケースがあることから、同社では証明書の取得を無償で代行し、購入者をサポートする。1年版、2年版、3年版のほか、無料体験版も無償代行の対象となる。 (Security NEXT - 2012/08/23 ) ツイート
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://jp.techcrunch.com/2013/02/27/jp20130227gmo/
