List of x-509 - Baldanders.info
tag:Baldanders.info,2015-04-04:/tags
2015-04-04T09:00:00+00:00
バルトアンデルスは連続的な怪物,時間の怪物である。(ホルヘ・ルイス・ボルヘス 『幻獣辞典』より)
https://baldanders.info/images/avatar.jpg
https://baldanders.info/images/avatar.jpg
踊る PKI
tag:Baldanders.info,2015-04-04:/blog/000828/
2015-04-04T09:00:00+00:00
2015-04-04T09:00:00+00:00
ふつう,証明書の有効性は(権威的)CA 側が判断するもので,アプリケーションにすぎない Chrome 等のブラウザがやることではない。そういうことをアプリケーション側がやらざるを得ないってのが現在の状況だということだ。
Spiegel
/profile/
<p> ありがちなようで(もしかしたら)深い話。 </p><ul> <li><a href="https://blog.mozilla.org/security/2015/04/02/distrusting-new-cnnic-certificates/">Distrusting New CNNIC Certificates | Mozilla Security Blog</a></li> <li><a href="http://gigazine.net/news/20150403-google-mozilla-ca/">GoogleやMozillaが中国の認証局が発行する証明書を「信頼できないもの」として失効させる - GIGAZINE</a></li> <li><a href="http://japan.cnet.com/news/service/35062669/">グーグル、中国の認証機関CNNICのルート証明書を排除へ - CNET Japan</a></li> </ul> <figure> <blockquote> <q>最近発覚した、Googleの複数のドメインに対し不正な証明書が発行された問題で、同社は、中国のドメイン(.cn)を管轄する認証機関であるChina Internet Network Information Center(CNNIC)のすべての証明書を、同社の製品でブロックすることを決定した。</q> </blockquote> <figcaption><q><a href="http://japan.cnet.com/news/service/35062669/">グーグル、中国の認証機関CNNICのルート証明書を排除へ</a></q>より</figcaption> </figure> <p> 事の発端は先週のこれ。 </p><ul> <li><a href="http://googleonlinesecurity.blogspot.jp/2015/03/maintaining-digital-certificate-security.html">Google Online Security Blog: Maintaining digital certificate security</a></li> <li><a href="https://technet.microsoft.com/library/security/3050995">マイクロソフト セキュリティ アドバイザリ 3050995</a></li> <li><a href="https://blog.mozilla.org/security/2015/03/23/revoking-trust-in-one-cnnic-intermediate-certificate/">Revoking Trust in one CNNIC Intermediate Certificate | Mozilla Security Blog</a></li> </ul><p> エジプトの企業 MCS Holdings が CNNIC(China Internet Network Information Center)から取得した中間認証局証明書を悪用し <code>google.com</code>, <code>google.com.eg</code>, <code>g.doubleclick.net</code>, <code>gstatic.com</code>, <code>www.google.com</code>, <code>www.gmail.com</code>, <code>googleapis.com</code> 各ドメインの証明書を偽造していた問題。 </p> <figure> <blockquote> <q>Mozillaが行った調査結果では、CNNICが中間CAに証明書を発行するプロセスはあまりにずさんなもので、PKIプラクティスは文章化されておらず、秘密鍵の保管方法もずさんなものであり「あまりにもひどいものであった」とCNNIC側を批判しています。</q> </blockquote> <figcaption><q><a href="http://gigazine.net/news/20150403-google-mozilla-ca/">GoogleやMozillaが中国の認証局が発行する証明書を「信頼できないもの」として失効させる</a></q>より</figcaption> </figure> <p> こういう話は頻繁にあるわけではないが珍しいことでもない。 たとえば2013年にも </p> <figure> <blockquote> <q>米Googleは12月7日、同社傘下の複数のドメイン用に不正なデジタル証明書が発行されていたことが分かり、問題の証明書を失効させるなどの措置を講じたことを明らかにした。Googleから連絡を受けたMicrosoftやMozillaも対応を表明した。 <br/>Googleによると、不正な証明書は12月3日に発見され、調べたところ、フランスの政府系認証局ANSSI傘下の中間認証局で発行されていたことが分かった。 <br/>[...] <br/>GoogleはChromeブラウザで問題の証明書を失効させ、この証明書を発行した中間認証局を遮断する措置を講じた。</q> </blockquote> <figcaption><q><a href="http://www.itmedia.co.jp/news/articles/1312/10/news036.html">Googleドメイン用の不正証明書が発行される、各社が失効措置へ - ITmedia ニュース</a></q>より</figcaption> </figure> <p> という話があった。 ただし,このときは実際に不正を行った中間認証局(の証明書)をブロックしただけだったが,今回は CNNIC のルート証明書を(一時的? にせよ)ブロックしている。 この影響はかなりデカくて </p> <figure> <blockquote> <q>「この決定によって影響を受ける顧客を支援するため、公表されたホワイトリストを使用し、一定期間CNNICの既存の証明書を信頼できるものとして使用できるようにする」とGoogleは述べている。</q> </blockquote> <figcaption><q><a href="http://japan.cnet.com/news/service/35062669/">グーグル、中国の認証機関CNNICのルート証明書を排除へ</a></q>より</figcaption> </figure> <p> ふつう,証明書の有効性は(権威的)CA 側が判断するもので,アプリケーションにすぎない Chrome 等のブラウザがやることではない。 そういうことをアプリケーション側がやらざるを得ないってのが現在の状況だということだ。 もちろんブラウザ側の判断が常に正しいという根拠は何もない(今回の判断は妥当だと思うけどね)。 私たちはただ状況に応じて「選択」することしかできない。 </p><p> こうやって少しずつ(X.509 型の)PKI は壊れていくんだねぇ。 <a href="https://baldanders.info/blog/000277/">EV SSL</a> なんか鼻くそほどの役にも立たないという証拠である。 </p> <section> <h3>参考ページ</h3> <ul> <li><a href="https://baldanders.info/blog/000809/">Malware Spoofing HTTPS — Baldanders.info</a></li> <li><a href="https://baldanders.info/blog/000768/">「オーウェルが描いた悪夢のような監視社会をさまざまな点で超えてしまっているこの世界」で私たちはいかにして生き残るか — Baldanders.info</a></li> </ul> </section> <section> <h3>参考図書</h3> <div class="hreview"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4757143044/baldandersinf-22/"><img src="https://images-fe.ssl-images-amazon.com/images/I/413qoSjODUL._SL160_.jpg" alt="photo" class="photo"/></a><dl><dt class="fn"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4757143044/baldandersinf-22/">信頼と裏切りの社会</a></dt><dd>ブルース・シュナイアー 山形 浩生 </dd><dd>エヌティティ出版 2013-12-24</dd><dd>評価<abbr class="rating" title="4"><img src="https://images-fe.ssl-images-amazon.com/images/G/01/detail/stars-4-0.gif" alt=""/></abbr> </dd></dl><p class="similar"><a href="https://www.amazon.co.jp/exec/obidos/ASIN/4622078007/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4622078007.09._SCTHUMBZZZ_.jpg" alt="殺人ザルはいかにして経済に目覚めたか?―― ヒトの進化からみた経済学"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4152094362/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4152094362.09._SCTHUMBZZZ_.jpg" alt="楽観主義者の未来予測(上): テクノロジーの爆発的進化が世界を豊かにする"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4492654585/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4492654585.09._SCTHUMBZZZ_.jpg" alt="それでも金融はすばらしい: 人類最強の発明で世界の難問を解く。"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4152094184/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4152094184.09._SCTHUMBZZZ_.jpg" alt="自己が心にやってくる"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4757142366/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4757142366.09._SCTHUMBZZZ_.jpg" alt="ルールに従う―社会科学の規範理論序説 (叢書《制度を考える》)"/></a> </p> <p class="gtools">reviewed by <a href="#me" class="reviewer">Spiegel</a> on <abbr class="dtreviewed" title="2015-04-03">2015/04/03</abbr> (powered by <a href="http://www.goodpic.com/mt/aws/index.html">G-Tools</a>)</p> </div> </section>