SSLのサーバ証明書について、信頼されて無い証明機関によって認証されている場合
クライアント(大抵ブラウザになると思います。)は証明機関の電子署名が正当なものか
検証出来ない為、こういった運用をしているサイトは脆弱性のあるサイトであると
言えると思います。
ここで質問ですが、
信頼された証明機関によって認証されているが、有効期限が切れているサイトは
脆弱性があるサイトであると言えるのでしょうか?
有効期限が切れていようと信頼された証明機関によって認証はされている訳ですし、
ブラウザでも
・信頼されて無い証明機関によって認証されている場合
・信頼されている証明機関によって認証されているが有効期限切れの場合
は別箇のエラーが表示される為ユーザはこの二つを区別出来ます。
とあるサイトが有効期限切れのまま運用されているのですが、脆弱性が無い様なら
放置しても良いかなと思いますし、脆弱性が有る様なら担当者に連絡するべきかなと
思っています。
高木浩光さんの日記など見てみたんですが、ちょっと判断がつきませんでしたので
ご教示頂ければと思います。
No.6ベストアンサー
- 回答日時:
>信頼された証明機関によって認証されているが、有効期限が切れているサイトは
脆弱性があるサイトであると言えるのでしょうか?
現在の一般的な脆弱性の定義からすれば,「言えない」でしょうね.
>とあるサイトが有効期限切れのまま運用されているのですが、脆弱性が無い様なら
放置しても良いかなと思いますし、
「良いかな」という考えが利用者にとっても「常識」となっているかどうか,また特定の利用者のみ利用するサーバの場合,サーバアクセス前にその利用者が,サーバ管理者と十分な信頼の関係にあるのかどうか,ですよね?
その考え方がそのサイトを利用する人たちにとって,「常識」となっている,とみなしてよいのかどうか,サイトを利用する人たちが,その「事情」を熟知しているかどうか,だと思います.
その考え方ががそのサイトを利用する人たちにとって,「常識」となっている,とみなしてよいのならば「問題なし」という判断も管理者としてアリ,でしょう.
コンピュータの問題というより,「何が常識であるのか」という問題ですね.
皆さん失礼しました、質問したまま放置してしまいました。
どうも私の質問の仕方がまずかった様です。
技術的見解をお聞きしたかったのですが、モラルや倫理、
エンドユーザの話も混ぜてしまったせいで意図がぼやけてしまいましたね。
今回は一旦締めさせて頂きます。ありがとうございました。
No.5
- 回答日時:
>信頼された証明機関によって認証されているが、有効期限が切れているサイトは
脆弱性があるサイトであると言えるのでしょうか?
簡単に言えばメンテがされていないサイトと言う事です。
脆弱性があるサイトかは通常では解析できません。
SSLのサーバ証明書を更新する事を怠る様なサイトは信用するに価しないと言うのは言いすぎですか?
オレオレ証明書もアクセスするユーザーに対して証明書を購入する予算がないからオレオレでいくけれど信用してくれる方だけ利用してくださいと断りがあるなら個人的には問題ないと思います。
問題はオレオレ証明の癖にあたかも正規な処置のように認証させようとする姿勢ですね。
銀行系のサイトがこの形態だとオンラインバンキングなど危なくて出来ないよね。
最初の一歩から自分だけに都合の良い事を正当化する姿勢ですからね。
それは脆弱性とは又違う問題だと思います。
ちゅうかそれ以前が正しいのか?。
No.4
- 回答日時:
ANo3 ency です。
> しかしながら、逆に言えば去年は
> 暗号アルゴリズムはSHA256を採用しているので今年はお金は払わなくて良いという
> 判断はサーバ管理者としては脆弱性のみに焦点を絞るのならアリだと思って良いのでしょうか?
う~ん。。。
サーバ管理者として、私が指摘した脆弱性のみに焦点を絞るのならアリなのかもしれませんけど…そのようなサーバを私は使用したいとは思いませんね。
より安全な暗号化アルゴリズムを使用しているから大丈夫だろう…というよりもすでに周知されたアルゴリズムであれば結果は同じことだと思うからです。
# 少なくとも、SSL を使用しているサーバ管理者であればそう考えるべきでしょうね。
SSL を使用すると決めた時点で、証明書発行のコストは避けられないものです。
というよりも、定期的にそのようなコストがかかることを見越して SSL を使用することを決定しているはずです。
あとは、それを必要経費としてサーバ管理者の人が上司を説得できるかどうか…結局そこにかかってくるんでしょうけどね。
というのが、あくまで私個人の意見です。
えらそうなことを書いてきましたが、サーバ管理者でもない私(!)がどんなことを言ったところであまり説得力がないかもしれません。
というわけで、参考意見とさせてもらいました。
No.3
- 回答日時:
ちょっと割り込み気味ですみません。
。。まず、暗号は莫大な計算時間と計算能力をつかえば、いずれ解読されるものだというのは、おわかりだと思います。
現在使用されている暗号アルゴリズムであれば、公開鍵から秘密鍵を推定することは、確率的に事実上不可能と言われていますが、それも「現在」という制約がついた話です。
今後マシンスペックがあがっていけば、推定可能になるかもしれません。
公開鍵から秘密鍵が推定できてしまえば、そのサーバ証明書を発行しているサーバとの間の通信は、ANo1 さんが書いている 3つの危険性のすべてにさらされることになります。
このような状況を避けるためにも、サーバ証明書には有効期限を設定しておき、常に新しい暗号化アルゴリズムを使用した公開鍵・秘密鍵を使用できるようにしているんです。
言い換えれば、暗号解読の時間を与えないために、サーバ証明書に有効期限を設定しておいて、期限満了でサーバの公開鍵・秘密鍵を更新させるように強制することで、ANo1 さんが書いている 3つの危険性を軽減するようにしているんです。
このようなことを考えると、たとえば 1ヶ月前期限が切れたサーバ証明書であれば、まぁ、良いかなぁ~と思えなくもないですが、たとえば 10年前に期限が切れたサーバ証明書は、とても信用できないことがわかると思います。
ご参考まで。。。
この回答への補足
仰る通り現在安全と言われている暗号アルゴリズムが、将来は安全で無いという
のは最もだと思います。
事実SSLv2は現在では使ってはいけないと言われている訳ですし、MD5も段々怪しくなってきています。
しかしながら、逆に言えば去年は
暗号アルゴリズムはSHA256を採用しているので今年はお金は払わなくて良いという
判断はサーバ管理者としては脆弱性のみに焦点を絞るのならアリだと思って良いのでしょうか?
(ブラウザで有効期限切れのエラーが出ますが、これは利便性の話になるかと思いますので
ここでは言及しません。)
No.1
- 回答日時:
ご質問にある「脆弱性」の有無と、信頼されて無い証明機関による証明書とは、直接的な関係はありません。
SSLでは、主に以下のような危険性を軽減しています。
・サーバ認証により、Webサーバのなりすましの防止
・通信データの暗号化により、盗聴された際の情報の秘匿
・通信内容の完全性チェックにより、通信データの改ざんの検知
これらと、世間一般に言われている「サイトの脆弱性」とは、分けて考えられたほうが良いと思います。
この回答への補足
言葉足らずで申し訳ありません。
今回私が問題にしているのはDIooggooIDさんが提示された中の
以下の2点です。
・サーバ認証により、Webサーバのなりすましの防止
・通信内容の完全性チェックにより、通信データの改ざんの検知
「脆弱性」の定義が明確で無かった様なので改めて補足させて頂きます。
信頼されて無い証明機関によって認証されている場合
・通信データの暗号化により、盗聴された際の情報の秘匿
は達成されますが
・サーバ認証により、Webサーバのなりすましの防止
・通信内容の完全性チェックにより、通信データの改ざんの検知
は達成されないはずです。
なぜならインターネット網で平文でやり取りしたものは改ざんの可能性があると
いう大前提があってSSLという技術が出来たにも関わらず
証明機関の証明書の改ざんの可能性がクリアされていないからです。
この、man-in-the-middle可能という状態を指して脆弱性が有ると私は言っています。
質問内容に戻りますが、
信頼されている証明機関によって認証されているが有効期限切れの場合
以下の3点全てクリアされると思っています。
・サーバ認証により、Webサーバのなりすましの防止
・通信データの暗号化により、盗聴された際の情報の秘匿
・通信内容の完全性チェックにより、通信データの改ざんの検知
したがって、man-in-the-middleは不可能なはずです。 = 脆弱性が無い。
しかしながら、それなら証明機関に毎年お金を払うのはあまり意味が無いわけで、
ブルートフォースの成功率が上がるので毎年Webサーバの秘密鍵を変更したほうが良いといった程度の
理由ならわざわざベリサイン等の証明機関に更新費用を払わなくても良い様な気もしましたので
今回質問させて頂きました。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- 戸籍・住民票・身分証明書 マイナンバーカードの有効期限と、電子証明書の有効期限について 1 2022/05/25 19:42
- その他(国内) 旅行支援で必要な陰性証明書について 1 2023/01/16 15:35
- その他(宿泊・観光) 全国旅行支援を利用する際の、PCR検査の陰性証明書について質問です。 調べていると陰性証明書の効力が 2 2022/10/12 13:01
- その他(セキュリティ) 【SMS認証】電話番号を使用したSMS認証は、電話番号詐称があり、セキュリティ上の脆弱性 4 2023/02/18 17:34
- その他(行政) e-govで必要な電子証明書について 1 2022/08/20 22:56
- 相続・遺言 相続明細について… 相続人に渡す○○証券会社の株の金額を 複数の相続人で分割し受け取るための 振込依 3 2023/05/07 04:39
- 日本語 必要とする場合 5 2023/08/14 18:56
- 戸籍・住民票・身分証明書 4〜5年前の保険証紛失について 3 2023/02/28 17:13
- 格安スマホ・SIMフリースマホ SMS認証用の電話番号が欲しい 6 2022/06/12 18:21
- 中東 ドバイに入国する際には、ワクチン必須でしょうか? 1 2022/11/08 20:21
関連するカテゴリからQ&Aを探す
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
文書上、「早め」と「早目」で...
-
送りがな「取り付け」と「取付...
-
18歳自衛官 現在教育隊なのです...
-
「デマケ」ってどういう意味で...
-
自衛隊ですが体力測定に受から...
-
なぜ「帰朝」??
-
車賃(出張旅費)の相場
-
「過ごす」と「過す」
-
信頼出来るソース(情報源)はど...
-
組織に対する敬語
-
私立幼稚園の園長に騙されました。
-
周りから死んで償えと言われる...
-
職場のメンヘラかまってちゃん ...
-
大きいケタの数字をパッと見た...
-
自衛官の身辺調査について
-
個人が国を買うことは可能なのか?
-
老人クラブの解散について
-
マイナンバーカードの暗証番号...
-
海上自衛隊と海上保安庁は、仲...
-
提出時には「参考様式」は消し...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
文書上、「早め」と「早目」で...
-
送りがな「取り付け」と「取付...
-
18歳自衛官 現在教育隊なのです...
-
海上自衛隊と海上保安庁は、仲...
-
朝倉未来が、 「愛知の豊橋は日...
-
老人クラブの解散について
-
周りから死んで償えと言われる...
-
「過ごす」と「過す」
-
役所の職員はどこまで個人情報...
-
「デマケ」ってどういう意味で...
-
【貨幣価値】1950-1953年当時の...
-
自衛隊ですが体力測定に受から...
-
集団ストーカーされているよう...
-
車賃(出張旅費)の相場
-
個人が国を買うことは可能なのか?
-
東京都の面積はイエローストー...
-
秋田県には一宮神社(県内で最も...
-
国家公務員等の旅費に関する法...
-
組織に対する敬語
-
法務省事務次官と検事総長どっ...
おすすめ情報