エフセキュアブログ : 不正なSSL証明書(「Comodoケース」)
不正なSSL証明書(「Comodoケース」) 2011年03月24日05:27 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン SSL証明書は、Webサイトがエンドユーザに自身のアイデンティティを明らかにするために用いられる。 証明書ベンダー「Comodo」が今日、同社を通じて9つの不正な証明書が発行されたと発表した。これらの証明書が交付されたのは以下に対してだ:mail.google.com (GMail)login.live.com (Hotmail et al)www.google.comlogin.yahoo.com (three certificates)login.skype.comaddons.mozilla.org (Firefox extensions)"Global Trustee" Comodoによれば、これらの登録はイランのテヘラン
米カーネギーメロン大、HTTPS通信を安全にするFirefox向け拡張機能公開
米カーネギーメロン大学コンピュータ科学部の研究者らが8月28日(米国時間)、SSH/SSL通信での攻撃を防止するためのFirefox 3向け拡張機能「Perspectives」を公開した。Linux、Windows、Mac OS Xに対応。同大学のWebサイトから無料でダウンロードできる。 Perspectivesは、米VeriSignの認証局が署名したPKIを利用していない自己署名型Webサイトと安全な通信を確保するための層を提供する。こうした自己署名型Webサイトに接続した場合、Firefoxはセキュリティエラーメッセージを出すが、Perspectivesは新しいアプローチによって、サイトの有効性を確認して自動でエラーメッセージを上書きする。ユーザーは間違ったステップを踏むことなく、シンプルに安全性を確認できるという。 具体的には、「ネットワーク公証サーバー」と呼ぶ公開サーバーを立ち上
Firefox3のオレオレ警告 | 水無月ばけらのえび日記
……なんと「そのままアクセスする」とか「一時的に受け入れる」とかいう選択肢がありません。そのかわり「例外として扱うこともできます」という謎のリンクがあります。クリックすると、「例外を追加」というボタンが現れます。 「インターネット接続環境を完全には信頼できない場合や、これまでこのサーバではこの警告が表示されなかった場合は、このサイトを例外として追加しないでください。」という注意書きが。そして例外に追加しようとすると、だめ押しの一撃。 「本物の銀行、ショップ、その他公共サイトがこの操作を求めることはありません。」太字で断言ですよ。これは気持ち良い! ここまでされると、本物サイトをオレオレ証明書で運用するのもかなり抵抗が出てくるでしょう。 ※興味本位で一時的にアクセスしてみたりするのがやりにくくなりますが……。まあ、一般の人はそんなことをする必要がありませんしね。 「Firefox3のオレオレ
mixi Engineers’ Blog » OpenSSLの暗号文をJava/Perl/Rubyで開く
秘密鍵やプライベートな情報などを秘匿するためにパスワードでデータを暗号化・復号したい場合があります。このとき、暗号化と復号するアプリケーションが同じであれば簡単ですが、例えばCで暗号化してJava、Perl、Rubyで復号するといった風に異なるプラットフォームで暗号データをやりとりする場合には、いくつか気 をつけなければいけないポイントがあります。 OpenSSLによる暗号化 OpenSSLはWebサーバのSSL/TLSサポートに利用されますが、その他にも付属しているopensslコマンドから基本的な暗号アルゴリズムを利用できます。次のような簡単なコマンドで、パスワードを使ってデータを暗号化したり復号したりすることができます: $ echo 'Hello World!' | openssl enc -e -aes-128-cbc > cipher.txt enter aes-128-cbc
高木浩光@自宅の日記 - こんな銀行は嫌だ
■ こんな銀行は嫌だ 「こんな銀行は嫌だ――オレオレ証明書で問題ありませんと言う銀行」……そんな冗談のような話がとうとう現実になってしまった。しかも、Microsoftが対抗策を施した IE 7 に対してさえ言ってのけるという。 この原因は、地方銀行のベンダー丸投げ体質と、劣悪ベンダーが排除されないという組織の構造的欠陥にあると推察する。 【ぶぎんビジネス情報サイト】アクセス時に表示される警告メッセージについて ぶぎんビジネス情報サイトでは、サイトURL(https://www.bugin.cns-jp.com/)ではなく、ベースドメイン(https://www.cns-jp.com/)でSSLサーバ証明書を取得しております。このため、本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心してぶぎんビジネス情報サイトを
OpenSSLでの自己認証局(CA)と自己証明書の作成
OpenSSLを利用した、自己認証局(CA)の構築と、サーバ証明書の作成手順とApache+mod_SSLでの設定方法についてもご紹介します。 Section.1では、通常のhttps通信を可能とするため、以下の手順を行います。 1.自己認証局(CA)の構築 2.サーバの証明書の作成 3.自己認証局によるサーバ証明書への署名 4.Apache+mod_sslの設定例 Section.2では、Section.1に加えてクライアント認証に利用する証明書の発行方法とApacheの設定例を示します。 1.クライアント認証用証明書の作成 2.Apache+mod_sslでの設定例 最初に、自己認証局(以下CA)の構築を行います。なお、CAの構築は/usr/local/CAに行います。 CAを作成するには、OpenSSL付属のCA.shを利用します。 (CA.shは、OpenSS
静岡県警察、「オレオレ証明書の警告が出たら電話で確認せよ」? | スラド
jbeef曰く、"静岡県警察サイバー犯罪対策室から「ファーミングに関する注意喚起について」というお知らせが出ている。DNSポイゾニングやhostsファイルの改竄などによって「一般利用者が正しいURLでホームページを閲覧しても偽のホームページに誘導されてしまいます」と注意を促している。そしてその対策として、「「セキュリティの警告」が出るような場合は、偽のサイトである可能性が高いので、「続行しますか」と聞かれたら「いいえ」を選択して処理を中止しましょう。」としている。そこまではよい。しかし……(続く)" 続いてこう書かれている。 (注)独自の認証局で発行されたセキュリティ証明書を利用しているような場合、正規なサイトでも「セキュリティの警告」が出ることがあります。 「セキュリティの警告」が出た原因が偽のサイトであるためか、独自の認証局で発行されたセキュリティ証明書を利用しているためか判断が付かな
高木浩光@自宅の日記 - 流出した暗号化ファイルと傍受された暗号化通信データの違い, Windows XP SP2の同時接続数制限
■ 流出した暗号化ファイルと傍受された暗号化通信データの違い 少し前に武田さんが、 個人情報の暗号化通信は漏洩にあたるか?, 武田圭史, 2006年6月10日 (略)では逆に128bit SSL相当あるいはそれ以上の強度で暗号化したファイルを紛失した場合において、その事実を公表・謝罪する必要があるのかという疑問が生まれる。 紛失したファイルを第三者が拾得した場合と、暗号化した通信を第三者が傍受する場合のどちらのリスクが大きいかということになるかとは思うが、実際のところインターネット上での個人情報の暗号化通信と、暗号化された個人情報ファイルの紛失の差異について、どのような認識が一般的なのだろうか。 という疑問を呈されていた。 企業が個人情報ファイルを紛失した際に、単に「暗号化していますので問題ありません」で済まされないのは、まず、少なくともどんな暗号アルゴリズムを用いていたかを明らかにしなけ
SSL Hell
(Last Updated On: 2007年2月14日)10月30日作成のページですが今みました。 Dan Kaminsky’s SSL Hell 結構笑えます。(英語のプレゼンテーションビデオです) これではどのサイトも信用できないです。 追記: ビデオの見なくても良いように一番重要な点だけ書きます。 SSLの公開鍵・秘密鍵がデフォルトのまま使っているサイトが多くある、というくだりです。銀行などのサイトでも「ありえない」と思える割合のサイトがデフォルトのキーペアを使っていて暗号化の意味がなくなっている!!!のだそうです。(詳しくはビデオを参照) キーはサイト毎に生成するになぜこんな事が起きる?と思われる方もいるかもしれません。ハードウェア系のSSLソリューションには静的に生成されたデフォルトのキーペアが設定されている場合があるのですが、なんとそのキーを使っているサイトが多数存在する、と
「EV-SSLは犯罪者以外の全ての人にメリットをもたらす」 - 日本ベリサイン | エンタープライズ | マイコミジャーナル
日本ベリサインは12日、EV-SSL証明書に関するプレス向け説明会を開催した。 EV-SSL(Extended Validation SSL)は、従来のSSLサーバ証明書の信頼性をさらに高め、確実なサイト認証を可能にするとされる。説明を行なった米VeriSignのDirector of Product MarketingのTim Callan氏は、EV-SSLを「セキュアなeコマース・プラットフォームにおける初めての根本的な変革」と位置づけた。 SSLサーバ証明書は、元々はアクセス先のサーバが信頼に足るものであることを証明するという機能を担っていたのだが、実運用の過程で単に暗号化機能を利用するために必要だからという理由で発行される例もあったという。このため、SSLが利用されていることがサーバの正当性の証明とは見なされていないのが現状だ。 一方、フィッシングサイトの急増はさらにペースを上げて
高木浩光@自宅の日記 - IE 7の普及でサーバ証明書失効によるトラブルが表面化する
■ IE 7の普及でサーバ証明書失効によるトラブルが表面化する Internet Explorer 6まででは、「サーバー証明書の取り消しを確認する」の設定(「インターネットオプション」の「詳細設定」タブのところにある)が、デフォルトでオフになっていたが、IE 7で、これがデフォルトでオンになった。 Internet Explorer 7 における HTTPS セキュリティの強化点, Microsoft Windows Vista にパフォーマンス強化および OCSP プロトコルのサポートが追加されたことで、Windows Vista 上で実行される IE7 では既定で失効状態のチェックが有効になり、セキュリティが強化されます。 この影響が出始めているようだ。 QNo.2856522 証明書エラーがでてしまいます・・, 2007年3月22日 ビスタに変えてから、XPの時に普通に入れていたサ
高木浩光@自宅の日記 - APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に
■ APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に APOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について, IPA, 2007年4月19日 回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。 というわけで、POP over SSLの特需が見込まれるところだが、MUAのサポート状況はどうだろうか。 大きなシェアを占めるBecky! はというと、POP over SSLをサポートしているのだが、残念なことに図1の設定がある。 この「証明書を検証しない」は、失効確認のことではない。オレオレ証明書の警告を出さない、そのチェックさえしないという設定だ。 これを設定した場合、偽サーバに接続*1しても何の警告もなしに処理される。(パスワードは偽サーバによって復号ないし解読され得る。) ここはデフ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://japan.internet.com/webtech/20110810/1.html