Google、不正なデジタル証明書に失効措置
不正な証明書はMicrosoftのルート証明書プログラムで認定され、Internet Explorer(IE)やChromeなどWindows向けプログラムの大多数で信頼できる証明書として扱われていたという。 米Googleは7月8日、Googleドメイン用の不正なデジタル証明書が発行されていたことが分かり、問題の証明書を失効させる措置を取ったと発表した。 同社のブログによると、不正な証明書はインドの当局が承認するNational Informatics Centre(NIC)傘下の中間認証局から発行されていた。Microsoftのルート証明書プログラムで認定され、Internet Explorer(IE)やChromeなどWindows向けプログラムの大多数で信頼できる証明書として扱われていたという。 一方、Firefoxが使っている独自のルート証明では問題の証明書を認定していないため、
(PDF)新gTLDの導入に伴う「内部利用目的での証明書への影響」に関するSSACによる勧告について
ドメイン名を中心としたインターネットポリシーレポート 2013 年 7 月号 1 ドメイン名を中心としたインターネットポリシーレポート 2013 年 7 月号 新 gTLD の導入に伴う「内部利用目的での証明書への 影響」に関する SSAC による勧告について 1. はじめに 新 gTLD プログラムの開始により、今後 1,000 を超える gTLD が追加されることが見込ま れている一方、企業などの内部ネットワークで利用しているローカルなドメイン名やホス ト名 (以下、内部利用名)が新gTLD の文字列と衝突する可能性があります。 これに伴うセキュリティ上の問題として、新 gTLD と文字列が衝突する内部利用名に対し てサーバ証明書を発行し、Web サーバの認証に利用できることが確認されています。 ICANN のセキュリティと安定性に関する諮問委員会(Security and Stabi
OpenSSL クライアントにおけるホスト名検証バイパス脆弱性 (CVE-2013-4073)
Posted by nahi on 27 Jun 2013 Translated by hsbt Ruby の SSL クライアントに信頼された証明書を用いて認証されたサーバーになりすまして 中間者攻撃を可能とする脆弱性が報告されました。 この脆弱性は CVE-2013-4073 として CVE に登録されています。 脆弱性の概要 Rubyの SSL クライアントはホストネームが一意であることをチェックする機構を持っていますが、 その機構は null バイト文字が含まれている証明書のホストネームを適切に処理することができません。 脆弱性の詳細 Ruby の SSL クライアントは OpenSSL::SSL.verify_certificate_identity に RFC2818 の サーバー一意性チェックを実装していますが、 null バイト文字を含んだ X509 の subjectAl
mod_ssl 設定 2013/3 版 - どさにっき
2013年3月26日(火) ■ mod_ssl 設定 2013/3 版 _ 注: わしゃ暗号は素人です。 _ ここ最近の流れ。 2011/9 BEAST: CBC モードの暗号はうまいことごにょごにょすると解読されやすくなるよ 2012/9 CRIME: 圧縮機能を使うと解読されやすくなるよ 2013/2 Lucky 13: CBC モードの暗号はうまいことごにょごにょすると解読されやすくなるよ こんな感じで CBC でないストリーム暗号の RC4 を使うべき的な風潮になってきたところで、今月になって RC4 にも穴(*1)が発表されてちゃぶ台をひっくりかえされる。ということで、安全な設定について考える。Apache mod_ssl で。 _ えーと、まず、RC4 については現時点ではどうしようもない(?)っぽいので、捨てる方向で考える。先月まではとりあえず RC4 を強制しとけ、でも許さ
両想いのSSL証明書は存在する
はじめに 以前のエントリにおいてSSL中間CA証明書を検索するウェブサービスについて紹介しました。このウェブサービスを作る過程で、私たちは合計約82万枚のSSL証明書を収集してデータベースを作成し、それを元に様々な分析を行いました。その際に見つけた、普段では気がつくことがないような面白い話がいくつかあるので、今回ここで紹介してみたいと思います。 尚、このWAF Tech Blogは基本的にはエンジニア向けの有用な情報をお届けしているつもりですが、今回は実際の業務等に役に立つ情報は殆どなく、ネタ的な要素が強い内容となっていることをご了承ください。 えっ!? 私の証明書の階層、深すぎ...? SSL証明書は階層構造を取ることが知られています。最もポピュラーなのはルート証明書からサーバ証明書までが3階層あるいは4階層のものです。 階層が浅いものを探してみると、まれに2階層というものがあります。例
Webサイト常時SSL化のススメ - @IT
2012/03/28 ログインや入力フォームなどが含まれないページも含め、Webサイト全体のSSL化を検討してほしい――日本ベリサインは3月28日、常時SSL(Always-on SSL)に関する説明会を開催した。 米シマンテック シマンテックトラストサービシズ プロダクトマーケティング シニアディレクターのロブ・グリックマン氏は、「Webサイトのセキュリティはクリティカルな問題になっている」と述べ、主に2つの攻撃シナリオがあると説明した。 1つは、正規のWebサイトが攻撃者に乗っ取られて、アクセスしてきたユーザーにマルウェアを仕込んでしまうケース。もう1つは、通信経路で盗聴した情報によるなりすまし(セッションハイジャック)だ。 特に後者の問題に対する「簡単かつコスト効率に優れた解決策が、常時SSLだ」(グリックマン氏)という。すでに、FacebookやTwitter、Google、Pay
デジノター事件の重大性
オランダの認証局デジノター(DigiNotar)の不正SSL証明書発行事件が、大きな波紋を呼んでいる。セキュリティベンダーをはじめ、あちこちで話題として取り上げられている。 ロシアのカスペルスキーラボもブログで、この事件について振り返った。オランダ政府はデジノターの信用を取り消すことを発表している。 デジノターは基本的に二つの部門で構成されていた。一つは通常の業務を行う認証局、もう一つは政府関連に特化した「PKIoverheid」という部門だった。デジノターのシステムを監査した結果、PKIoverheidの権限の完全性は保証できなかった。つまり、完全性は侵害されていると考えられる。 8月末にオランダ政府はPKIoverheidの信用性を断言していた。このためブラウザーベンダーはPKIoverheidではない部門だけをブラックリストに移したが、次回はそう簡単には信用しないだろう。 デジノター
通信を保護する「SSL/TLS」の脆弱性を突いたhttps攻撃、研究者が発表へ
アルゼンチンでのセキュリティ会議で「SSL/TLSに対する選択平文攻撃」についてのプレゼンテーションが予定されている。 アルゼンチンのブエノスアイレスで開かれているセキュリティカンファレンス「ekoparty」で、研究者がhttpsに対する暗号攻撃について発表を予定している。 このカンファレンスは9月21日から23日までの日程でブエノスアイレスで開かれるもの。カンファレンスのWebサイトに掲載された日程表によると、この中で23日に、「SSL/TLSに対する選択平文攻撃」について2人の研究者がプレゼンテーションを行う。 SSL/TLSはWebトラフィックの通信暗号化に用いられるプロトコル。「https」のURLが付いたWebサイトに利用され、ユーザーとWebサイトとの間でやり取りされるデータの盗聴や改ざんを防いでいる。23日の発表では、このSSL/TLSの脆弱性を突き、HTTPSリクエストの
イランからGoogleへのSSL通信が傍受されていた疑い。CAから発行された偽証明書が原因:Geekなぺーじ
多くのユーザがSSL通信(https)の中身を傍受されていた可能性があるようです。 今回、この問題が報告されたのはイラン国内からのGoogleへの通信を行った場合です。 約2ヶ月間にわたってイラン国内からのSSL通信で、検索結果、Gmailに含まれるメールの中身、その他情報が傍受されていたかも知れません。 EFF: Iranian Man-in-the-Middle Attack Against Google Demonstrates Dangerous Weakness of Certificate Authorities Google Online Security Blog: An update on attempted man-in-the-middle attacks 傍受の手法 本来、暗号化されたSSL通信の傍受は困難です。 今回利用された方法はMan-In-The-Middl
シマンテック、ベリサインの事業買収でピースを埋める
5月20日、米シマンテックは米ベリサインの電子証明・個人認証事業(Identity and Authentication Business)を買収する契約に調印したことを発表した。買収金額は約12億8000万ドル(約1183億円)で、今後60~90日以内に実施される予定となっている。買収対象には、日本ベリサインの株も含まれているため、日本ベリサインは米シマンテックが親会社となる予定。 今回買収される事業は、同社が高いシェアを誇るSSLサーバー証明書、認証局の運用を手がけるマネージドPKI、ワンタイムパスワードやフィッシング詐欺の防御などを実現する「VIP(Verisign Identitiy Protection)」など、セキュリティビジネス全般になる。投資家向けの資料によると、今後の情報セキュリティ管理において認証事業がキーとなること、クラウド向けの事業を強化する必要性があること、そして
Symantec、VeriSignの認証関連事業を約12億8000万ドルで買収へ
米Symantecは現地時間2010年5月19日、米VeriSignの認証関連サービス事業を約12億8000万ドルで買収することで両社が最終合意に達したと発表した。対象になる事業には、SSL認証、PKI、ID認証管理などのサービスが含まれる。手続きは2011会計年度第2四半期(2010年7~9月)に完了する見通しだ。 合意条件のもとSymantecは、VeriSignの日本法人である日本ベリサインの大半の株式を買い取るほか、一部ブランドと商標を獲得する。日本ベリサインは、2010会計年度第4四半期(2010年1~3月)にVeriSignの全売上高の39%を稼ぎ出している。 Symantecは、VeriSignのセキュリティ製品および認知度と、自社の主要なセキュリティソリューションおよび種々の提供範囲を組み合わせることで、どこからでも必要な情報に手軽で安全にアクセスできる手段としてのIDセキ
株式会社コモドジャパンが設立、日本語・円でSSL証明書提供へ
左から、コモドジャパンのMichael Whittam取締役、 Nicolas E.Hales取締役、井上美紗子社長 英Comodoは2月19日、アジア地域における初の海外現地法人として、株式会社コモドジャパンを2月14日に設立したと発表した。2月29日より営業を開始する。 Comodoは、英国のSSL証明書ベンダ。コモドジャパンの取締役に就任したMichael Whittam氏によれば、「SSL証明書ベンダとしては世界2位のシェアで、個人から金融機関などの大企業まで約200万のユーザーがいる」という。 日本法人設立の理由についてコモドジャパンは、「個人情報保護法の施行とそれに伴うユーザー意識の向上など、日本における情報セキュリティのニーズが今後さらに拡大すると考えたため」と説明。また、代表取締役社長に就任した井上美紗子氏は、「今までにもComodoによる日本展開は行われていたが、販売を行
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
