タグ

証明書に関するtsupoのブックマーク (56)

  • Firefoxが政府認証基盤のルート証明書を認めず、「ユーザーのセキュリティを害する」

    Webブラウザー「Firefox」を開発する米モジラ(Mozilla)は2018年2月末までに、日の政府認証基盤(GPKI)が提出していたルート証明書のプレインストールの申請を認めない決定を下した。

    Firefoxが政府認証基盤のルート証明書を認めず、「ユーザーのセキュリティを害する」
  • 障害報告:サーバ証明書が意図せずに失効されたことによるJPNIC Webの閲覧不可について(第一報) - JPNIC

    2016年7月27日 各位 一般社団法人日ネットワークインフォメーションセンター 障害報告:サーバ証明書が意図せずに失効されたことによる JPNIC Webの閲覧不可について(第一報) 2016年7月22日(金)午後に、 JPNICのWebサーバに発行されているサーバ証明書がJPNICの意図しない形で失効されたことにより、 その時刻から23日(土)午前10:49までの間、 JPNIC Webが正常に閲覧できない状態になりました。 障害の発生を確認した後、事態について状況を把握するために、 慎重な調査および照会を行いました結果、第一報が遅れました。 皆様にご迷惑をおかけしましたこともあわせ、お詫び申し上げます。 記 閲覧できなかった日時とサービス 2016年7月22日(金) 午後 ~ 7月23日(土) 午前10:49 JPNIC Web (https://www.nic.ad.jp/) お

  • SHA-1 証明書の規制・影響と SSL のエラーについて (前編) | さくらのナレッジ

    はじめに はじめまして、サイバートラストの坂田です。SSL サーバー証明書のサポートデスクでテクニカルサポートを主に担当しています。 このたび、さくらのナレッジに寄稿させていただくこととなりました。どうぞ、よろしくお願いいたします。 さて、今回は私がお客様からよく聞かれる、SSL/TLS (以降は、SSL だけに省略して記載します)に関するお話を以下の 2 立てでご紹介します。 SHA-1 証明書の規制・影響の振り返りと最新動向 SSL 接続時によくあるセキュリティ警告・エラーとその対策 なお、SSL に関する基的なお話は当社の坂が寄稿している「改めて知ろう、SSLサーバー証明書とは?」シリーズをご一読ください。 第 1 部: SHA-1 証明書の規制・影響の振り返りと最新動向 SHA-1 証明書の規制の振り返り まず、SHA-1 証明書(署名アルゴリズムが SHA-1 の SSL

    SHA-1 証明書の規制・影響と SSL のエラーについて (前編) | さくらのナレッジ
  • 無料でサーバー証明書を発行する「Let's Encrypt」

    無料でSSL(Secure Sockets Layer)/TLS(Transport Layer Security)サーバー証明書を発行する「Let's Encrypt」が2015年12月4日(日時間)にパブリックベータになった。いままでは招待制の限定ベータプログラムだったが、パブリックベータとなり、誰でも試すことができるようになった。 Let's EncryptはSSL/TLSサーバー証明書の取得・管理を簡単にできるようにすることで、HTTPSをWebの標準にすることを狙っている。専用のクライアントソフトウエアを利用すると、証明書の取得・更新作業を自動化できる点も特徴。クライアントソフトウエア自体も自動アップデート機能を備える。 Let's Encryptが発行するのはドメイン認証SSL/TLS証明書のみ。米国大手認証局(CA)である IdenTrustの証明書によって、中間証明書「L

    無料でサーバー証明書を発行する「Let's Encrypt」
    tsupo
    tsupo 2015/12/08
    『Let's EncryptはSSL/TLSサーバー証明書の取得・管理を簡単にできるようにすることで、HTTPSをWebの標準にすることを狙っている』
  • 国勢調査オンラインはトップページを http: で案内してるし、使っている証明書はOV SSL証明書だしちょっと問題あり - いろいろやってみるにっき

    <20190814追記> EV SSL証明書についてはブラウザ側の扱いが変わりつつあり、当エントリは古い情報ということで下記エントリを参照頂きたい。 </追記終わり> 【追記 2015/09/15 10:50】書き方が悪かったようで、go.jpなんだからEV SSL証明書じゃなくていいだろというコメントが付く。意図を説明しておく。 EV SSL証明書を使うと、下記のようにブラウザのURL欄を見れば正規のサイトであることが一目瞭然。そのため毎回細かくURLを確認する必要が無い。幅広い利用者がいる今回の国勢調査オンラインの場合、利用者にリテラシを求めるより、見て分かるほうが一定のセキュリティを担保しやすい(フィッシングサイトに引っ掛からない)と考える。 スクリーンショットは【20140614加筆・訂正】三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意!」そっくりらしいのだが、なん

    国勢調査オンラインはトップページを http: で案内してるし、使っている証明書はOV SSL証明書だしちょっと問題あり - いろいろやってみるにっき
  • 【20140614加筆・訂正】三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意!」そっくりらしいのだが、なんでURLをチェックするように指示してEV SSL証明書をチェックするように指示しないのか不明なので色々調べてみた。 - いろいろやってみるにっき

    <20190814追記> EV SSL証明書についてはブラウザ側の扱いが変わりつつあり、当エントリは古い情報ということで下記エントリを参照頂きたい。 </追記終わり> どう考えても疑問なので色々調べてたら大作になったw(挨拶)。題名も大作w。 (2014/06/14追記)さらに題名が長くなった(´・ω・`)。AndroidChromeについて追記、iOS版Chromeについて加筆・訂正実施。補遺は【補遺】三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意!」そっくりらしいのだが、なんでURLをチェックするように指示してEV SSL証明書をチェックするように指示しないのか不明なので色々調べてみた。に記載したのでそちらもどうぞ。 ようこそ、バーボンハウスへ!三菱東京UFJの警告画面をコピーしたフィッシングサイト登場の巻(えふしん) - 個人 - Yahoo!ニュース を見て、一応

    【20140614加筆・訂正】三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意!」そっくりらしいのだが、なんでURLをチェックするように指示してEV SSL証明書をチェックするように指示しないのか不明なので色々調べてみた。 - いろいろやってみるにっき
  • シマンテック、ハッシュアルゴリズム「SHA-1」利用停止までのロードマップを解説

    シマンテックは2014年2月5日、Webサイト閲覧を安全に行うために使われる電子証明書で利用されるハッシュアルゴリズムを、現在の「SHA-1」から「SHA-2」へ移行を促すための解説を行った。 WebブラウザーでSSL通信を行うためには、(1)ブラウザーなどにルート証明書を入れること、(2)認証局がSSLサーバー証明書を発行すること、(3)Webサイト管理者が正しくSSLサーバー証明書をインストールすることの3つの条件がそろうことが必要だ。 暗号化通信を始める場合、利用者がブラウザーを使ってWebサーバーにアクセスすると、WebサーバーはSSLサーバー証明書、中間認証局証明書をブラウザーに向け送付する。送付されたSSLサーバー証明書が、シマンテックをはじめとする正しい証明書発行機関のものかどうかを判断するため、ハッシュアルゴリズムを適用し、ハッシュ値を算出する。このとき使われているのが、S

    シマンテック、ハッシュアルゴリズム「SHA-1」利用停止までのロードマップを解説
    tsupo
    tsupo 2014/02/05
    現在の「SHA-1」から「SHA-2」へ移行を促すための解説 / SHA-1の発行を最長2015年12月31日まで、SHA-1の利用を最長2016年12月31日までとすることを提示 / IISやApacheはSHA-2対応済み / 未対応の機器に注意
  • Googleドメイン用の不正証明書が発行される、各社が失効措置へ

    google.com」「.google.co.jp」などのドメイン用の不正証明書が発行されていたことが分かり、GoogleMicrosoft、Mozillaが対応を表明した。 米Googleは12月7日、同社傘下の複数のドメイン用に不正なデジタル証明書が発行されていたことが分かり、問題の証明書を失効させるなどの措置を講じたことを明らかにした。Googleから連絡を受けたMicrosoftやMozillaも対応を表明した。 Googleによると、不正な証明書は12月3日に発見され、調べたところ、フランスの政府系認証局ANSSI傘下の中間認証局で発行されていたことが分かった。 電子証明書は、ユーザーがアクセスしているWebサイトが物であることを確認するために使われる。不正な証明書を利用すれば、偽サイトであってもWebブラウザの警告が表示されず、ユーザーがだまされて個人情報などを入力してし

    Googleドメイン用の不正証明書が発行される、各社が失効措置へ
    tsupo
    tsupo 2013/12/10
    Googleによると、不正な証明書は12月3日に発見され、調べたところ、フランスの政府系認証局ANSSI傘下の中間認証局で発行されていたことが分かった ← Googleの「不正な証明書」、これで何回目だ? 今後もありそう
  • Opera社内から証明書流出、ユーザーのマシンにマルウェアが侵入か

    時間19日午前10時~10時36分の間にWindows環境でOperaブラウザを使っていたユーザーが、自動的にマルウェアをインストールしてしまった可能性があるという。 ノルウェーのOpera Softwareは6月26日、同社の社内ネットワークインフラが標的型攻撃を受けてコード署名証明書が盗まれ、Operaブラウザのユーザーにマルウェアが配布された可能性があると明らかにした。 Operaのブログによると、社内ネットワークインフラに対する標的型攻撃は6月19日に発覚して対処した。当局と協力して攻撃の出所などを調べているが、現時点でユーザー情報が流出した形跡はないとしている。 しかしこの攻撃で、期限切れのOperaコード署名証明書が盗まれ、マルウェアへの署名に使われたことが判明した。Opera Software製のソフトウェアやOperaブラウザのように見せかけて、マルウェアが配布された恐

    Opera社内から証明書流出、ユーザーのマシンにマルウェアが侵入か
    tsupo
    tsupo 2013/06/28
    「対策として、新しいコード署名証明書を使ったOpera更新版のリリースを予定しており、ユーザーに対し、更新版がリリースされ次第アップグレードするよう強く推奨」
  • *.google.com 乗っ取りテロ発生 iPhone/Android 2.x→アウト、Android4.x→対策可能 Vista/7/8→安全

    対策→ 『*.google.com』不正証明書問題、Android 4.Xでできる対策 1: スノーシュー(東京都):2013/01/08(火) 19:58:19.94 ID:aIeIruVQ0 Firefoxブラウザ開発元のMozillaは、手違いで発行された中間証明書のうち少なくとも1件が、通信に割り込む「中間者トラフィック」操作の手口に利用された恐れがあると指摘した。 http://www.itmedia.co.jp/enterprise/articles/1301/08/news029.html ■対策 -----Mac----- Appleの報告待ち Operaは同時の証明書管理なのでOpera使えばOK ---Windows--- 「信頼されない発行元」に *.EGO.GOV.TR  *.google.com  e-islem.kktcmerkezbankasi.org が入っ

    *.google.com 乗っ取りテロ発生 iPhone/Android 2.x→アウト、Android4.x→対策可能 Vista/7/8→安全
  • Googleドメイン向けの不正証明書、主要ブラウザメーカーが失効措置

    「*.google.com」のドメイン向けに手違いで不正な証明書が発行されて攻撃が発生。GoogleMicrosoft、Mozillaは問題の証明書を失効させる措置を講じた。 「*.google.com」のドメイン向けに不正な証明書が発効されていたことが分かり、主要ブラウザメーカーが問題の証明書を失効させる措置を講じている。 米Googleセキュリティブログに1月3日付で掲載された情報によると、Google Chromeが12月24日に不正なデジタル証明書を検出して遮断。調べたところ、問題の証明書はトルコの認証局TURKTRUSTの傘下の中間認証局(CA)が発行していたことが判明した。 TURKTRUSTの説明によれば、2011年8月に2組織に対して通常のSSL証明書を発行すべきところを、手違いで中間CA証明書を発行していたことが分かったという。このためGoogleは12月25日から2

    Googleドメイン向けの不正証明書、主要ブラウザメーカーが失効措置
    tsupo
    tsupo 2013/01/09
    2011年8月に2組織に対して通常のSSL証明書を発行すべきところを、手違いで中間CA証明書を発行していた / 問題の証明書はトルコの認証局TURKTRUSTの傘下の中間認証局(CA)が発行
  • 通常業務再開のご連絡

    tsupo
    tsupo 2011/10/20
    「2011年10月17日より全サービスにおいて通常業務を再開いたしましたのでご報告いたします」 / 「現在はすべて通常の期間で証明書を発行しております」
  • 不正アクセスに関する調査と分析についての報告

    以下の通り、不正アクセスに関する経緯と調査・分析結果についてご報告いたします。 なお、件に関してはアメリカ国土安全保障省をはじめアメリカ、イギリス、オランダの捜査当局、および日の警察、CA(認証局)・ブラウザフォーラムに対し、逐次調査の経過報告を行っております。 経緯 ※日時はすべて日時間 ■2011年9月6日 Comodo社(アメリカ)の再販事業者へのハッキング実行犯を名乗る人物(Comodohacker)によりオランダの認証局であるDigiNotar社(オランダ)に対してハッキングを行った旨の声明がなされました。また、情報共有サイトPastebinに掲載された声明文において、4つ(もしくはそれ以上)の認証局に不正アクセスしたことを言及し、その4つの認証局のひとつとしてグローバルサインの名前が挙げられました。 声明文の中で、“Comodohacker”は、4つ以上の認証局に対してハ

    不正アクセスに関する調査と分析についての報告
    tsupo
    tsupo 2011/10/19
    「認証局の秘密鍵は常にオフラインの状況に置かれており、いかなるネットワークからも完全に切り離されているため、認証局の秘密鍵が第三者に取得されることは、起こり得ない」
  • 不正アクセスに関する調査と分析についての最終報告

    以下の通り、不正アクセスに関する調査結果と経緯についてご報告いたします。 調査結果 調査の結果、以下の形跡は認められませんでした。 不正な証明書の発行 顧客データの流出 GlobalSignのルート鍵またはハードウェア・セキュリティ・モジュール(HSM)への侵害 GlobalSignの認証局(CA)インフラへの侵害 GlobalSignの発行局または関連するHSMへの侵害 GlobalSignの登録局(RA)への侵害 調査の結果、以下の可能性が認められました。 米国GMOグローバルサインの商用サイト(www.globalsign.com)を運営するウェブサーバに侵入を受けた可能性。 上記サーバで公開されているHTMLファイル、PDFファイル、www.globalsign.comに発行されたSSLサーバ証明書、及びその秘密鍵に不正にアクセスを受けた可能性。 上述の侵入を受けた可能性のあるサー

    不正アクセスに関する調査と分析についての最終報告
    tsupo
    tsupo 2011/10/19
    2011年9月7日から2011年9月14日までの間、システムの検査のためすべての証明書の発行を一時停止しておりましたが、現在は通常の営業を再開しております → すでに再開してましたか
  • デジノター事件の重大性

    オランダの認証局デジノター(DigiNotar)の不正SSL証明書発行事件が、大きな波紋を呼んでいる。セキュリティベンダーをはじめ、あちこちで話題として取り上げられている。 ロシアのカスペルスキーラボもブログで、この事件について振り返った。オランダ政府はデジノターの信用を取り消すことを発表している。 デジノターは基的に二つの部門で構成されていた。一つは通常の業務を行う認証局、もう一つは政府関連に特化した「PKIoverheid」という部門だった。デジノターのシステムを監査した結果、PKIoverheidの権限の完全性は保証できなかった。つまり、完全性は侵害されていると考えられる。 8月末にオランダ政府はPKIoverheidの信用性を断言していた。このためブラウザーベンダーはPKIoverheidではない部門だけをブラックリストに移したが、次回はそう簡単には信用しないだろう。 デジノター

    デジノター事件の重大性
    tsupo
    tsupo 2011/09/28
    DigiNotar がやられて不正な証明書が出回った事件のまとめ記事(なんだけど、微妙に日本語がおかしいのが残念)
  • モジラ、認証局にセキュリティ対策を要求

    Mozillaは米国時間9月8日、公開書簡のなかで、認証局(CA)に対して1週間の間にセキュリティを改善する措置をとるよう求めた。 MozillaのCA認証モジュール責任者であるKathleen Wilson氏はこの書簡で「Mozillaのルートプログラムへの参加はわれわれが単独で裁量でき、われわれはユーザーの安全を保護するために必要なあらゆる手段をとるつもりだ」と述べている。 この書簡は、オランダの認証局であるDigiNotarが先週、7月19日の時点でシステムに侵入されて500以上の不正な証明書の発行を許したと認めたことを受けたものだ。Wilson氏は、Mozillaは最近DigiNotarのルート証明書を削除したと述べている。 Wilson氏は、Mozillaは認証局に対し、公開鍵基盤(PKI)の監査と侵入や侵害のチェック、複数のCAによって署名された証明書の一覧表の提供、証明書を発

    モジラ、認証局にセキュリティ対策を要求
    tsupo
    tsupo 2011/09/09
    Mozillaは認証局に対し、公開鍵基盤(PKI)の監査と侵入や侵害のチェック、複数のCAによって署名された証明書の一覧表の提供、(略) を、9月16日までに実行するよう求める
  • DigiNotarの不正証明書問題、その影響は - @IT

    2011/09/08 オランダの認証局DigiNotarが不正アクセスを受け、偽のSSL証明書を発行していた問題は、さまざまなところに影響を及ぼしている。 この被害は8月29日に明らかになった。米Googleのメールサービス「Gmail」のユーザーに対する中間者攻撃の動きがあったことを機に、DigiNotarが不正なSSL証明書を発行していたことが発覚。詳しく調査した結果、DigiNotarの認証局インフラが7月19日に不正アクセスを受け、管理者権限でアクセスされて500以上の偽証明書を発行していたことが明らかになってきた。その中には、google.comのほか、skype.com、twitter.com、www.facebook.comや*.windowsupdate.com、*.wordpress.comなど、広く利用されるドメインが含まれている。またDigiNotarの証明書は、オラ

    tsupo
    tsupo 2011/09/08
    DigiNotarの認証局インフラが7月19日に不正アクセスを受け、管理者権限でアクセスされて500以上の偽証明書を発行していたことが明らかに // 認証局四天王ネタ、すでにありそう
  • GMOグローバルサインが証明書発行停止 不正アクセス犯行声明に同社名

    SSL証明書を発行する認証局を運営するGMOグローバルサインは9月7日、証明書発行業務を停止すると発表した。一連の認証局への不正アクセスについての犯行声明で、アクセスに成功した認証局の1つとして同社を挙げており、「詳細についての調査が終了するまで全証明書の発行を停止する」という。現段階で不正アクセスによる被害は見つかっていないという。 オランダの認証局DigiNotarのシステムが不正侵入され、不正なSSL証明書が発行された事件で、「ComodoHacker」と名乗る人物が5日付けで、アクセスの自ら実行したという声明を“証拠”とともに公開した。 声明では、アクセス可能な認証局として「GlobalSign」が挙げられていた。同社は「声明の内容から一連の認証局への不正アクセスの実行犯自身による声明である可能性が高いと判断」し、全証明書の発行を停止を決めた。 現在利用中の証明書は引き続き利用でき

    GMOグローバルサインが証明書発行停止 不正アクセス犯行声明に同社名
    tsupo
    tsupo 2011/09/08
    「声明の内容から一連の認証局への不正アクセスの実行犯自身による声明である可能性が高いと判断」し、全証明書の発行の停止を決めた / 証明書発行再開のめどは立っていない
  • 証明書発行業務停止のご連絡及びお詫び│SSL・電子証明書ならGMOグローバルサイン

    平素は、グローバルサインをご愛顧いただき誠にありがとうございます。 一連の認証局への不正アクセスの実行犯を名乗る人物により、複数の認証局に対するハッキングを行った旨の声明がなされ、その認証局のひとつとして弊社の名前も挙げられておりました。 声明の内容から一連の認証局への不正アクセスの実行犯自身による声明である可能性が高いと判断し、詳細についての調査が終了するまですべての証明書の発行を停止させていただくことにいたしました。 なお、現在ご利用中の証明書は引き続きご利用いただけます。お客様側での特別な作業は必要ございません。また、現段階において不正アクセスによる具体的な被害は見つかっておりません。 現状、証明書発行業務復旧の目途は立っておりません。証明書発行業務の復旧の目処等、件に関する追加の情報については、サイトにてお知らせいたします。 ご利用のお客様には大変なご迷惑をお掛けいたしますこと

    証明書発行業務停止のご連絡及びお詫び│SSL・電子証明書ならGMOグローバルサイン
    tsupo
    tsupo 2011/09/08
    「実行犯を名乗る人物により、複数の認証局に対するハッキングを行った旨の声明がなされ、その認証局のひとつとして弊社の名前も挙げられておりました」
  • DigiNotarの不正SSL証明書発行、Microsoftが無効措置をアップデート

    オランダの認証局DigiNotarからSSL証明書が不正発行されていた問題で、米Microsoftは米国時間2011年9月6日、DigiNotarの証明書を失効させる措置の対象を拡大した。8月29日に対処した「Windows 7」「Windows Vista」に加え、「Windows XP」と「Windows Server 2003」およびすべてのWindowsアプリケーションにもサポートを広げた。 MicrosoftはDigiNotarのすべての証明書が信用にあたらないと判断し、DigiNotarが発行した証明書を信頼リストから除外する措置をとった。これにより、Windowsユーザーは不正SSL証明書の影響から保護されるとしている。この措置は自動アップデートを介して適用される。 今回の事件は、米GoogleのWebメールサービス「Gmail」のユーザーが、偽サイトにログインさせられそうに

    DigiNotarの不正SSL証明書発行、Microsoftが無効措置をアップデート
    tsupo
    tsupo 2011/09/07
    MicrosoftはDigiNotarのすべての証明書が信用にあたらないと判断し、DigiNotarが発行した証明書を信頼リストから除外する措置をとった → Windows Update で適用される