MD5署名のSSL証明書は案外出回っていない - Mozilla Flux
『EV SSL証明書の普及が偽証明書を防ぐ』では、MD5アルゴリズムに脆弱性が発見され、これで署名されたSSL証明書に偽造の危険があると述べた。 では、実際のところ、MD5署名のSSL証明書はどの程度の割合で存在しているのだろうか。Firefoxのセキュリティ責任者であるJohnathan Nightingale氏によれば、意外にも14%にとどまることが判明した。 調査は、2009年1月15日に実施された。Pythonで書かれたプログラムと公開されているリストを使って100万のサイトを調べ、38万2860のSSL証明書を取得。SQLiteのデータベースを構築するという大がかりなものだ。サンプルの規模、信頼性ともに十分といえよう。 また、朗報と言うべきだろうが、MD5署名のSSL証明書は2009年中に期限切れになるものが多く、2010年末までに大半の期限が切れる。原文のグラフから読み取る限り
yet2come: SSLのMD5問題に対する現実解はあるのか?
MD5には深刻な問題があり、極力その利用を避けるべきであることは間違いありません。ただし、今回発表された攻撃法がMD5を使用しているルートCAを直接の対象にしているものではないことには注意する必要があるかと思います。今回示された攻撃手法は、MD5で署名された証明書を基に中間証明書(あるいは別のエンドエンティティ証明書)を偽造するものであり、ルートCAの署名アルゴリズムになにが使われているかは関係がありません。 では、過去に同様な攻撃が既に成功している可能性、もしくは、今回発表された攻撃手法の拡張により発行済の証明書が偽造に利用される可能性まで考慮した場合、やはり該当ルートのルートストアからの削除だけが唯一の対処法なのでしょうか? ここ数日いろいろと考えてみたのですが、ブラウザ側で「中間証明書、もしくはエンドエンティティにMD5が使用されていた場合には警告を表示させる」というのが現実解である
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
日本ベリサイン - Enterprise & Internet Security Solutions
