Google、CNNICが中間者攻撃用の証明書を発行したと発表

Google、CNNICが中間者攻撃用の証明書を発行したと発表

Googleの公式セキュリティブログによると、GoogleはCNNICがGoogleドメイン名に対して中間者攻撃に使用される複数の証明書を発行したことを発見した。 MCS Group という名のこの中間認証局は、複数の Google ドメイン名に対して偽の証明書を発行しており、MCS Group の中間証明書は中国の CNNIC からのものでした。

この証明書は、信頼された Google ドメイン名を偽装し、ネットワーク ファイアウォールに導入されて、ファイアウォールの背後にあるすべての HTTPS ネットワーク通信をハイジャックし、ブラウザの警告を回避します。

Google は CNNIC に連絡し、CNNIC は 3 月 22 日に、CNNIC が MCS に制約のない中間証明書を発行したと回答しました。MCS は、所有するドメイン名に対してのみ証明書を発行するはずでしたが、MCS はそれをファイアウォール デバイスにインストールし、ターゲット ドメイン名を偽装して中間者プロキシとして機能し、暗号化された接続の傍受 (SSL MITM) を実行しました。企業が法的な理由またはセキュリティ上の理由で従業員の暗号化された接続を監視する必要がある場合、その接続を社内イントラネットに制限する必要があります。しかし、ファイアウォール デバイスは、ユーザーが外部サービスにアクセスするときに、管理下にないドメイン名の証明書を発行します。この方法は、証明書信頼システムの規則に著しく違反しています。この説明は事実と一致していますが、CNNIC は依然として MCS が保持するのに適さない証明書を発行しました。

ルート CA として、CNNIC はほぼすべてのオペレーティング システムとブラウザーから信頼されています。Google は、すべての主流ブラウザーにこれらの状況を通知しました。Google Chrome のすべてのバージョン (Windows、OS X、Linux バージョンを含む) と Firefox は、これらの証明書をブロックします。Firefox はバージョン 37 以降、悪用された安全でない証明書をブロックするための証明書ブラックリストを確立する OneCRL メカニズムを導入しました。

この事件は、インターネット証明書発行メカニズムのオープン性と透明性の必要性を改めて示しています。

Google 英語ブログの原文: デジタル証明書のセキュリティの維持

Mozilla 英語ブログ原文: CNNIC 中間証明書の信頼を取り消す

参考:中国インターネットネットワークインフォメーションセンター(CNNIC)は、中華人民共和国国務院の主管部門の承認を得て 1997 年 6 月 3 日に設立されたインターネット管理およびサービス組織です。中国インターネットネットワーク情報センターは設立当初は中国科学院の監督下にあったが、2014年末に中央サイバースペース事務指導小組弁公室と中国サイバースペース管理局の監督下に変更された。


原題: Google、CNNIC が中間者攻撃用の証明書を発行したと発表

キーワード: Google

<<:  本当に価値のあるコンテンツは必ずしも「人気」があるとは限らない

>>:  マイクロビジネスは死んだ

推薦する

モバイルゲームユーザーがゲームを入手する6つの方法をすべてご存知ですか?

ユーザーがゲームを入手するには、一般的に、推奨ダウンロードと検索ダウンロードの 2 つの方法がありま...

Cert-Manager は K8s サービスドメイン名証明書の自動更新を実装します

導入Cert-Manager [1]は、Kubernetesクラスター内のTLS証明書の管理を自動化...

5G ネットワーク アーキテクチャとワイヤレス ネットワーク仮想化

5G は、柔軟で制御可能、オープンでカスタマイズ可能な無線ネットワークの目標を達成するために仮想化技...

この不安定な労働環境において SEO 担当者は何をすべきでしょうか?

2012年のSEO環境について言えば、誰もがそれを一言で簡潔にまとめると思います。それは「混沌」です...

ユーザーエクスペリエンスの観点からウェブサイトを最適化する

中国人の間で最もよく使われている検索エンジンは百度です。百度の使命は「人々に最も便利な情報入手方法を...

企業がハイブリッドクラウドストレージの問題を克服する方法

Microsoft Azure、Google Cloud Platform、AWS などのクラウド ...

「ヴァンパイア」AWSから始まり、オープンソースはどのように突破できるのか?

過去 10 年間、Linux や MySQL から Kubernetes、Spark、Presto、...

greengeeks-30% 割引コード、年間 35 ドル、無制限のホスティング、ウェブサイト構築の制限なし、無料ドメイン名 1 つ、SS サポート

私は greengeeks をお勧めします。これは、古いアメリカのブランドで、無制限のスペース、無制...

#リアル VPS クラウド: vexxhost - $5/1g メモリ/40g SSD/4T トラフィック/1000M ポート

HostCat は何度も vexxhost を推奨していますが、多くの人はそれに注意を払っていません...

V5Net: 香港のクラウドサーバー、月額20元から、500Mの直接帯域幅、1Gメモリ/1コア/30g SSD/500Gトラフィック

v5netは最近、香港の巨大データセンターに新しいクラウドサーバーサービスを追加しました。このサービ...

## ニュース Linode: カナダのトロントに 10 番目のデータセンターを開設

今日のニュース: Linode は、10 番目のデータ センターがカナダのトロントにあることを正式に...

Techmeme はどのようにしてテクノロジー業界にとって必読のニュース ウェブサイトになったのでしょうか?

[概要]Techmeme は、多数のテクノロジー企業の幹部やベンチャーキャピタリストを引き付けていま...

タオバオの技術発展レビュー(I):独身の日カーニバル

「時間切れ、ゲット開始!」長い間パソコンの前に座って待っていたシャオメイは、2011年11月11日0...

SEO は時間の無駄になります。最後に笑った人が勝者になります。

「私のウェブサイトは鶏の肋骨のようなもので、食べるには味気ないが、捨てるのは惜しい」と、タオバオアフ...

bgpto: 日本ソフトバンク/シンガポール CN2 GIA、専用サーバー、月額 64 ドル、e3-1230v3/16g メモリ/480gSSD/100M 帯域幅/3 IP

bgp.to は現在、シンガポールと東京のデータセンターの独立サーバーを 35% 割引で提供していま...