期限の切れた証明書について

Question

SSLのサーバ証明書について、信頼されて無い証明機関によって認証されている場合
クライアント（大抵ブラウザになると思います。）は証明機関の電子署名が正当なものか
検証出来ない為、こういった運用をしているサイトは脆弱性のあるサイトであると
言えると思います。

ここで質問ですが、
信頼された証明機関によって認証されているが、有効期限が切れているサイトは
脆弱性があるサイトであると言えるのでしょうか？

有効期限が切れていようと信頼された証明機関によって認証はされている訳ですし、
ブラウザでも
・信頼されて無い証明機関によって認証されている場合
・信頼されている証明機関によって認証されているが有効期限切れの場合
は別箇のエラーが表示される為ユーザはこの二つを区別出来ます。

とあるサイトが有効期限切れのまま運用されているのですが、脆弱性が無い様なら
放置しても良いかなと思いますし、脆弱性が有る様なら担当者に連絡するべきかなと
思っています。

高木浩光さんの日記など見てみたんですが、ちょっと判断がつきませんでしたので
ご教示頂ければと思います。

noname#73602 · Accepted Answer

>信頼された証明機関によって認証されているが、有効期限が切れているサイトは
脆弱性があるサイトであると言えるのでしょうか？

現在の一般的な脆弱性の定義からすれば，「言えない」でしょうね．

>とあるサイトが有効期限切れのまま運用されているのですが、脆弱性が無い様なら
放置しても良いかなと思いますし、

「良いかな」という考えが利用者にとっても「常識」となっているかどうか，また特定の利用者のみ利用するサーバの場合，サーバアクセス前にその利用者が，サーバ管理者と十分な信頼の関係にあるのかどうか，ですよね？
その考え方がそのサイトを利用する人たちにとって，「常識」となっている，とみなしてよいのかどうか，サイトを利用する人たちが，その「事情」を熟知しているかどうか，だと思います．
その考え方ががそのサイトを利用する人たちにとって，「常識」となっている，とみなしてよいのならば「問題なし」という判断も管理者としてアリ，でしょう．

コンピュータの問題というより，「何が常識であるのか」という問題ですね．

123admin · Answer

＞信頼された証明機関によって認証されているが、有効期限が切れているサイトは
脆弱性があるサイトであると言えるのでしょうか？

簡単に言えばメンテがされていないサイトと言う事です。
脆弱性があるサイトかは通常では解析できません。

SSLのサーバ証明書を更新する事を怠る様なサイトは信用するに価しないと言うのは言いすぎですか？

オレオレ証明書もアクセスするユーザーに対して証明書を購入する予算がないからオレオレでいくけれど信用してくれる方だけ利用してくださいと断りがあるなら個人的には問題ないと思います。

問題はオレオレ証明の癖にあたかも正規な処置のように認証させようとする姿勢ですね。

銀行系のサイトがこの形態だとオンラインバンキングなど危なくて出来ないよね。
最初の一歩から自分だけに都合の良い事を正当化する姿勢ですからね。

それは脆弱性とは又違う問題だと思います。
ちゅうかそれ以前が正しいのか？。

ency · Answer

ANo3 ency です。

> しかしながら、逆に言えば去年は
> 暗号アルゴリズムはSHA256を採用しているので今年はお金は払わなくて良いという
> 判断はサーバ管理者としては脆弱性のみに焦点を絞るのならアリだと思って良いのでしょうか？

う～ん。。。
サーバ管理者として、私が指摘した脆弱性のみに焦点を絞るのならアリなのかもしれませんけど…そのようなサーバを私は使用したいとは思いませんね。
より安全な暗号化アルゴリズムを使用しているから大丈夫だろう…というよりもすでに周知されたアルゴリズムであれば結果は同じことだと思うからです。
# 少なくとも、SSL を使用しているサーバ管理者であればそう考えるべきでしょうね。

SSL を使用すると決めた時点で、証明書発行のコストは避けられないものです。
というよりも、定期的にそのようなコストがかかることを見越して SSL を使用することを決定しているはずです。
あとは、それを必要経費としてサーバ管理者の人が上司を説得できるかどうか…結局そこにかかってくるんでしょうけどね。

というのが、あくまで私個人の意見です。
えらそうなことを書いてきましたが、サーバ管理者でもない私(！)がどんなことを言ったところであまり説得力がないかもしれません。

というわけで、参考意見とさせてもらいました。

ency · Answer

ちょっと割り込み気味ですみません。。。

まず、暗号は莫大な計算時間と計算能力をつかえば、いずれ解読されるものだというのは、おわかりだと思います。

現在使用されている暗号アルゴリズムであれば、公開鍵から秘密鍵を推定することは、確率的に事実上不可能と言われていますが、それも「現在」という制約がついた話です。
今後マシンスペックがあがっていけば、推定可能になるかもしれません。
公開鍵から秘密鍵が推定できてしまえば、そのサーバ証明書を発行しているサーバとの間の通信は、ANo1 さんが書いている 3つの危険性のすべてにさらされることになります。

このような状況を避けるためにも、サーバ証明書には有効期限を設定しておき、常に新しい暗号化アルゴリズムを使用した公開鍵・秘密鍵を使用できるようにしているんです。

言い換えれば、暗号解読の時間を与えないために、サーバ証明書に有効期限を設定しておいて、期限満了でサーバの公開鍵・秘密鍵を更新させるように強制することで、ANo1 さんが書いている 3つの危険性を軽減するようにしているんです。

このようなことを考えると、たとえば 1ヶ月前期限が切れたサーバ証明書であれば、まぁ、良いかなぁ～と思えなくもないですが、たとえば 10年前に期限が切れたサーバ証明書は、とても信用できないことがわかると思います。

ご参考まで。。。

a-saitoh · Answer

SSL証明書の有効期限が切れている場合、
ドメインの契約が切れてたあとに違う組織がドメインを取得し、そのドメインの旧所有者のなまえをかたってWWWサイトを運用している可能性を排除できない、のでは？

DIooggooID · Answer

ご質問にある「脆弱性」の有無と、信頼されて無い証明機関による証明書とは、直接的な関係はありません。

ＳＳＬでは、主に以下のような危険性を軽減しています。

　・サーバ認証により、Webサーバのなりすましの防止 
　・通信データの暗号化により、盗聴された際の情報の秘匿 
　・通信内容の完全性チェックにより、通信データの改ざんの検知 

　これらと、世間一般に言われている「サイトの脆弱性」とは、分けて考えられたほうが良いと思います。

期限の切れた証明書について

>信頼された証明機関によって認証されているが、有効期限が切れているサイトは

＞信頼された証明機関によって認証されているが、有効期限が切れているサイトは

ANo3 ency です。

ちょっと割り込み気味ですみません。

この回答への補足

SSL証明書の有効期限が切れている場合、

この回答への補足

ご質問にある「脆弱性」の有無と、信頼されて無い証明機関による証明書とは、直接的な関係はありません。

この回答への補足

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング