2005-04
24
00:00:00
Opera 8の証明書検証に脆弱性?


Opera 8の正式発表とともに流れていたニュースですが、

窓の杜【NEWS】:
Opera Software ASA、音声操作やSVG画像に対応した「Opera」v8.0 正式版を公開
SSL証明書の発行者名を偽装できる脆弱性はv8.0の正式版でも未修正

なお、SSL証明書を供給する米Geotrust社が12日明らかにしたところによると、「Opera」のベータ版にはSSL証明書の検証に関して問題があり、発行者名を偽装できる脆弱性があるという。編集部で試用したところ、同脆弱性はv8.0の正式版でも未修正であることを確認した。

はて。これは証明書検証の脆弱性問題なのかな。この報道内容には疑問があります。


検証サイトが公表したGeoTrustによって公開されており、こちらを見ると JPMorgan Chase銀行を模倣しつつ実は別サイトにアクセスしているように見えます。
opera_fakechase.jpg
URLは全く別のサイトですが、アドレスバーの右に簡易表示されている証明書情報にはChase(US)と見えます。あまり日本人には馴染みが無いのでぴんとこないですが、例えばUFJ(JP)などと入っていればそう思ってしまうかもしれませんね。
但しこのChaseの文字は証明書のOrganization項目(O:企業や団体名)です。
Organization項目は元々ブラウザなどで検証される項目では無いはず。というかブラウザはCommonName(CN: ホスト名ですね)しか分からないので、検証することも無い訳です。普通ブラウザはCommonNameを検証するのみで、Organization項目はただ証明書の情報として表示されるだけです。
但し他のブラウザがメインウィドウには鍵マークしか表示しないのに対して、OperaはOrganization項目もついでに表示してくれるのでこんな指摘に至ったのでしょう。
実はこの検証に使われている証明書はGeoTrustでは無く、COMODO社から取得されたものです。
普通は登記簿謄本などを用いてドメイン名以外の証明書情報も発行者にチェックされるものなのですが、察するにGeoTrustはライバルのCOMODOは簡単に嘘情報の証明書を発行してしまうよ、と言いたいのでしょう。
COMODOのCPS(認証局運用規定)を見ると、

(P13)審査レベル
申請の際に使用された企業名の使用権に加え、申請されたドメイン名の使用権の確認について、第三者機関のDB、ビジネス文書の両方もしきはいずれかにより行う。最初にIdAuthorityのDB を使用するが、十分な情報が得られない場合は、審査員が個別に確認を行う。
(原文のまま)

ともあるので、当然ですが規定違反と捉えられます。
Operaは両者のいざこざに巻き込まれてしまったという感じかな。
とは言え、ユーザーの利便性のために考えられた機能追加なのでしょうが、Organizationを単純に表示してしまったのは軽率だったかも知れませんね。
CN検証が正常な場合はアドレスバー自体を黄色くして、その他証明書情報を右に付加してみるとか、そんな対応がよいのでしょうかね。

コメントを残す

メールアドレスが公開されることはありません。

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください