タグ別アーカイブ: 証明書

2006-02
15
22:09:00
OperaではてなのSSL証明書に警告が出る件


Operaではてなにログインしようとすると、セキュリティ警告が表示されます。セキュリティレベルが「弱」だという警告です。
実は今までほとんどその警告には遭遇したことは無かったので気になっていたのですが、どうやらパブリックキーの強度不足(The server is using a short public encryption key, which is considered insecure.)を指摘しているようです。
20060215020853.jpg
調べてみると、はてなではRapidSSL(GeoTrust)を使用しており、パブリックキーは512bit RSA/SHAとなっています。
これが問題になっているみたいですね。512bitというのが短すぎるということでしょう。
20060215214920.jpg
他のサイトでは例えばGoogleなどは1024bit RSA/SHAとなっています。確かにこちらの方が一般的な気がしますね。
20060215215410.jpg Googleの場合の鍵アイコン。これで気付いたんですけど、Opera9ではアイコンにも強度が表示されるようになったみたいです。強度は3(強)です。
20060215215625.jpgこちらははてな。強度は1(弱)とされています。強度が足りないとグレーになるんですね。
因みにRapidSSLのサイトでサンプルのSSL証明書を調べてみると1024bit RSA/SHAです。
そもそもパブリックキーのサイズは、証明書要求の際のキー・ジュネレーション時の指定なので、認証局によってポリシーの差異があるとも思えません。
確かに1024bitが普通になってきたのは最近かもしれないので、昔からそうしたオペレーションになっているだけなのかも知れません。
変更コストもかかることではないと思われるので、次のサイクルからは変更してみてはどうでしょうね。

2006-02
14
23:45:00
“本物”のSSL証明書を持つフィッシング・サイト?


IT Proから“本物”のSSL証明書を持つフィッシング・サイト出現

確認された偽サイトは,「Mountain America Federal Credit Union」をかたるもの。実際のサイトのURLは「https://www.mtnamerica.org」だが,偽サイトのURLは「https://www.mountain-america.net」だった。間違える可能性は高い。

別に「本物」では無い訳で。以前からもこれぐらいはあるのではないのかな?
とは言え、これはSSLとかではなく、DNSつまりドメイン名の利用形態 としての一種の限界ですよね。

併せて,銀行やクレジット会社などでは,クリッカブルなリンクを記述したメールは送らないようにすべきとしている。正規の企業がそのようなメールを送ることは,フィッシング詐欺に遭う“土壌”を作ることになるからだ。

というのも、一部伺えます。
例えば属性証明書のように、国や公的証明機関などに「このサイトは一般的には○○として知られるブランドのサイトです」などと内容に踏み込んで証明させる、などの仕組みが今後必要になるかもしれない。
上記サイトに証明書を発行していたのがどこかは知りませんが、通常VerisignなどのCAは建前上サイトの存在証明しかしませんからね。より一歩踏み込んだ証明が必要とされているといったところでしょうか。
ブランディング属性証明とでも呼べばいいのかな。
と思うんだけど、どんなもんだろう。

2005-04
24
00:00:00
Opera 8の証明書検証に脆弱性?


Opera 8の正式発表とともに流れていたニュースですが、

窓の杜【NEWS】:
Opera Software ASA、音声操作やSVG画像に対応した「Opera」v8.0 正式版を公開
SSL証明書の発行者名を偽装できる脆弱性はv8.0の正式版でも未修正

なお、SSL証明書を供給する米Geotrust社が12日明らかにしたところによると、「Opera」のベータ版にはSSL証明書の検証に関して問題があり、発行者名を偽装できる脆弱性があるという。編集部で試用したところ、同脆弱性はv8.0の正式版でも未修正であることを確認した。

はて。これは証明書検証の脆弱性問題なのかな。この報道内容には疑問があります。

Continue reading

2005-03
01
23:57:00
OperaでようやくSSL証明書情報が参照可能に・・なるか?


INTERNET Watchから

Operaが次期ブラウザのベータ2公開、フィッシング対策に大幅な改良
今回のバージョンから、URLに応じたセキュリティ情報がアドレスバーの中に表示されるようになった。正当に暗号化されたページを訪れている時にはアドレスバーの右半分に黄色いセキュリティバーが現われて証明書などの情報が表示される。これによって自分がだまされていないかどうかを容易に確認できる。

というのはIEやFirefoxなどでいうところのこれ

相当の機能ですかね。実物はまだ試していないのでよく分からないのですが。
Operaの最大の不満点は、httpsサイトを訪れている時にSSL証明書の詳細情報が参照できなかった(暗号方法やキーサイズなどの情報しかなかった)ことなのですが、フィッシング対策とは銘打っているものの、要は詳細情報を表示できるようにようやくなるみたいですね。
今まで何で対応していなかったのかが不思議です。
でもそうだとしても他のブラウザ並みになるだけなので、大幅な改良ってのはどうかと。
# 記事中でそれとなくXMLHttpRequestサポートに触れているのも”Ajax”対応を暗に示していて、流行ものに目ざといINTERNET Watchらしいですね。
追記
やっぱりそうでしたね。ほぼFirefoxと同様かな。
cert_opera8beta.jpg
でもツリー形式だと一覧で見にくいし、証明書のエクスポートとかは出来ないんですね。この辺りはIEが一番出来はいいですね。

2004-11
13
10:24:00
何かSeesaaのSSL証明書が切れてる訳ですが


昨日いっぱい(GMT指定。JSTだと本日AM9時)で切れてますね。
昔自分もやっちゃったことがあるので大きな口は叩けないんですけど(苦笑)、これって内部のシステム管理体制がかなりいい加減なのを、かなりインパクト強く露呈することになるので早めに何とかしておいた方がいいかと。
そもそも格好悪いしね。。。
でも、Verisignだと申請してから一週間はかかるから、長引きそうですね。
# 因みに旅行びと日記を使ってこの状態で投稿すると「リモートサーバーと信頼関係が確立できません」エラーになると思いますので、XML-RPCエンドポイントURLには当面通常のhttpのURLを指定しておいて下さい(URLはこちらから)。
追記(11/15)
今日確認したら更新されてますね。
有効開始日が11/2になっているということは、更新手続きはしてたものの、インストール作業を忘れてたっぽいですね。