エフセキュアブログ : 問題のある証明書
問題のある証明書 2011年05月10日02:40 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン 最近の事件で、証明書、そしてコードサイニングおよびSSL証明書におけるアカウンタビリティの欠如が注目され、大きな問題となっている。 SSL証明書を持つことは、Webサイトのオーナーが、サイトのビジターに、自分が本当にオーナーであることを証明する一つの方法だ。大部分のインターネットユーザ、そして主要なインターネット会社でさえ、暗黙のうちに認証機関(CA)を信頼している。CAはSSL証明書をWebトラフィックの暗号化のために販売する。これにより、オンラインバンキングやショッピングなど、httpsコネクションを介してセキュアなトランザクションが可能になる。 しかし、現行の認証システムは1990年代に始まったもので、今日のインターネットの圧倒的な規模や複雑さにうまく
Secure Sockets Layer - Wikipedia
TLSは特定のアプリケーション層プロトコルに依存しないため、HTTP以外にも多くのプロトコルにおいて採用され、クレジットカード情報や個人情報、その他の機密情報を通信する際の手段として活用されている。 既存のアプリケーション層プロトコルでTLSを利用する場合、大きく2つの適用方式が考えられる。まずひとつは、下位層(通常はTCP)の接続を確立したらすぐにTLSのネゴシエーションを開始し、TLS接続が確立してからアプリケーション層プロトコルの通信を開始する方式である。もうひとつは、まず既存のアプリケーション層プロトコルで通信を開始し、その中でTLSへの切り替えを指示する方式である。切り替えコマンドとしてSTARTTLSが広まっているため、この方式自体をSTARTTLSと呼ぶこともある。 前者はアプリケーション層のプロトコルをまったく変更しなくてすむことが利点である。その反面、平文で接続を開始する
Comodo事件はどのようにして起こったのか? - セキュリティは楽しいかね? Part 1
先月、大手 CAの Comodoが外部からの攻撃によって、偽証明書を発行してしまうという事件が起こった。本記事では、この事件の問題点の整理、攻撃手法の詳細、改善策の状況などについてまとめたいと思う。 何が起こったのか? Comodoは認証局(CA)を運用し、SSLで利用される公開鍵証明書の発行などを行っている大手プロバイダの一つ。security spaceの 2010年3月のマーケットシェア調査によると、9%程でシェア5位につけている。(ちなみに GeoTrust, GoDaddy, Verisignの上位3社で50%以上を占める、寡占業界である。) その Comodoが 3/23付けの自社ブログにおいて、登録局(RA)の一つが外部から侵入されて、不正なSSL証明書が発行されてしまったことを明らかにした。(侵入が起きたのは 3/15のこと。) SSL認証局が偽の証明書を発行、大手サイトに
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
