SSL証明書発行企業が証明書の偽造アドウェア販売
▼ページ最下部
COMODO Internet SecurityなどのPC向けセキュリティツールの開発や、SSL証明書の発行を行うComodoが販売していたソフトウェアの「Privdog」は、
Lenovo製PCにプリインされているアドウェア「Superfish」よりも悪質なアドウェアで、HTTPSのセキュリティを完全に破壊してしまう危険性があるということが、
ドイツ人ジャーナリストのHanno Böckさんのブログ内で明かされました。
HTTPSではHTTP通信をSSLにより暗号化することで、通信内容の傍受などを防ぎ、さらに通信内容の改ざんも防ぎます。
SSLを使った安全な通信を行う際、ブラウザはウェブサーバから証明書を送ってもらい、サイトがどの認証局(CA)に認可されているのかを見ます。
そして、自分のルート証明書のリストにそのCAが含まれているかを確認し、信頼できるサイトかどうかを判断します。
しかし、PrivDogは全ての証明書を傍受し、証明書をルート鍵により署名されたものに置き換えます。
これは、あらゆる証明書が有効ではなくなることを意味し、さらにブラウザが全ての通信を承認してしまい、
SSL通信におけるCAの役割が全く意味のないものになってしまう、ということも意味します。
なお、Superfishではホストと同じ証明書と秘密鍵を使用するのですが、PrivDogは全てのインストール先で秘密鍵を再作成してしまう、とのことです。
なお、そんなPrivDogを販売しているのは「Comodo Dragon browser」や「COMODO Internet Security」などの開発元であるComodo。
ComodoはSSL認証局として証明書の発行サービスも行っているので、「自社で発行している証明書を自社が販売しているソフトウェアがニセの証明書に書き換えているかもしれない」、ということになります。
http://gigazine.net/news/20150223-comodo-adware-pr...
おいおい
Lenovo製PCにプリインされているアドウェア「Superfish」よりも悪質なアドウェアで、HTTPSのセキュリティを完全に破壊してしまう危険性があるということが、
ドイツ人ジャーナリストのHanno Böckさんのブログ内で明かされました。
HTTPSではHTTP通信をSSLにより暗号化することで、通信内容の傍受などを防ぎ、さらに通信内容の改ざんも防ぎます。
SSLを使った安全な通信を行う際、ブラウザはウェブサーバから証明書を送ってもらい、サイトがどの認証局(CA)に認可されているのかを見ます。
そして、自分のルート証明書のリストにそのCAが含まれているかを確認し、信頼できるサイトかどうかを判断します。
しかし、PrivDogは全ての証明書を傍受し、証明書をルート鍵により署名されたものに置き換えます。
これは、あらゆる証明書が有効ではなくなることを意味し、さらにブラウザが全ての通信を承認してしまい、
SSL通信におけるCAの役割が全く意味のないものになってしまう、ということも意味します。
なお、Superfishではホストと同じ証明書と秘密鍵を使用するのですが、PrivDogは全てのインストール先で秘密鍵を再作成してしまう、とのことです。
なお、そんなPrivDogを販売しているのは「Comodo Dragon browser」や「COMODO Internet Security」などの開発元であるComodo。
ComodoはSSL認証局として証明書の発行サービスも行っているので、「自社で発行している証明書を自社が販売しているソフトウェアがニセの証明書に書き換えているかもしれない」、ということになります。
http://gigazine.net/news/20150223-comodo-adware-pr...
おいおい
Comodo Dragon Internet Browser のアップデートで入ってくるから無関係とはいえない トカゲがGoogleChromeベースで作った物にハンドルしてるんだから対応するのは当然
自社のセキュリティ製品入れればいいのに。従来通りサーバーメインでやればいいのに。
他のブラウザはアドオン(プラグイン)で初めから入ってくるのはflashくらい
▲ページ最上部
ログサイズ:6 KB 有効レス数:11 削除レス数:1
不適切な書き込みやモラルに反する投稿を見つけた時は、書き込み右の マークをクリックしてサイト運営者までご連絡をお願いします。確認しだい削除いたします。
パソコンソフト掲示板に戻る 全部 次100 最新50
スレッドタイトル:SSL証明書発行企業が証明書の偽造アドウェア販売