Google、フランス政府の偽造CA証明書を発見

Google、フランス政府の偽造CA証明書を発見

Google の公式セキュリティ ブログによると、Google は、フランス情報システムセキュリティ庁 (ANSSI) と関係のある中間 CA 発行者が偽の CA 証明書を発行したことを発見しました。 Google は、証明書を取り消すために Chrome を直ちに更新し、ANSSI および他のブラウザベンダーに通知すると発表しました。

Google はブログ投稿で、中間証明書にはすべての CA 認証が含まれているため、そのような中間証明書を取得した人は誰でもそれを使用して任意の Web サイト証明書を偽造し、ユーザーの承諾を得て暗号化されたネットワーク トラフィックを監視できると指摘しました。たとえば、「Google Gmail の https をクラックするための新しいアイデア」で言及されている攻撃方法。

ANSSIはその後、偽造証明書の発行は人為的なミスであり、ネットワーク全体のセキュリティには影響がなかったとの声明を発表した。

ANSSI 偽造 CA 証明書は、世界で初めて暴露された国家レベルの偽造 CA 証明書による暗号化通信ハイジャック事件であり、ネットワーク セキュリティ業界に悪影響を及ぼしていると報じられています。この偽の CA 証明書は、Google トラフィックを監視し、Gmail、Google HTTPS 検索、Youtube などでフィッシング攻撃、コンテンツのなりすまし、中間者攻撃を実行するなど、Google の暗号化ネットワーク サービスを乗っ取るために使用され、被害者の Google アカウントのパスワードやその他の機能を盗みました。

Google はこの事件をきっかけに証明書の透明性の必要性を強調し、中間者攻撃やオンライン詐欺につながる可能性のある SSL 証明書システムの欠陥を修正する予定です。 Google は、この種の脆弱性に対して、CA フレームワークを使用してこれらの証明書を監視および確認し、不正な CA を排除するか、違法な証明書が侵入しようとしたときにそれらを隔離するという対応をとっています。

マイクロコメント:フランス当局は違法な証明書を使ってGmailアカウントを攻撃した。これは単純すぎるし、時にはナイーブだ。この手法は捕まりやすいだけでなく、暴露された後は恥辱と混乱を招くことになる。中国を見れば、はるかに進んでいる。通信事業者を通じてユーザーを直接乗っ取り、パスワードを盗むのだ。Googleは中国のネットワーク環境を持っていないため、まったく検知できない。その結果、ハッキングされたときに誰がやったのか分からない。そのため、Gmailを使用する中国のユーザーには2段階認証が必須となっている。


Google、フランス政府の偽造CA証明書を発見

キーワード: GOOGLE

<<:  Instapaperが期間限定で無料になる理由

>>:  「ニュースクラウドファンディング」ウェブサイトは短命だと非難され、閉鎖のジレンマに直面した

推薦する

マーケティングプロモーションの2つの本質:コンテンツとチャネル!

私は長年マーケティングプロモーションに携わってきました。毎年、商品プロモーションに対する理解は前年よ...

onetechcloud: 高速 VPS/大帯域幅、月額 38 元から、香港 CN2/CMI、米国 CN2 GIA/高防御/ネイティブ IP

onetechcloud は現在、VPS のプロモーションを行っており、価格は月額 38 元と低価格...

知識ベースのビデオマーケティング経験の共有

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています最近ではシ...

alphavps: VPS、専用サーバー、販売中、5 つのデータ センター

ブルガリアのホスティング プロバイダー alphavps は、6 月に VPS と専用サーバーの両方...

エッジコンピューティングとクラウドネイティブエコシステム

[[227186]]集中的なワークロードをクラウドからネットワークのエッジに移動して、レイテンシと帯...

AppleとMicrosoftのWebサイトのユーザビリティからマーケティング重視のWebサイト構築を考える

起業家および事業主の皆様へ:こんにちは、マーケティング反逆者です。ここで皆さんにシェアするのは、Pi...

出会い系サイトの「実名制」は派手だが実用的ではなく、「誠実さ」が最大の問題

出会い系市場はますます人気が高まっているが、さまざまな否定的な情報が信頼の危機につながるイブニングニ...

SEO最適化における各タグ命令の役割を共有する

検索エンジン最適化では、タグのさまざまな指示がさまざまな役割を果たします。さまざまな指示を通じて、ウ...

ウェブサイトがネガティブSEOに遭遇した場合の対処法

ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービスネガティブ SEO は、...

微博が支援するオアシスがなぜ人気がないのか?

WeiboがOasisを開発した理由については、すでに多くのオンラインプラットフォームで非常に興味深...

推奨: 100TB-5 USD/KVM/512m メモリ/25g SSD/2T トラフィック (Windows)/無料 SSL 無制限発行

100tb.com の VPS をご紹介します。これは KVM 仮想化に基づいており、Windows...

IBMは座って雲が上がり、青が白に変わるのを眺める

歴史が川であるならば、過去 100 年間は最も流れが激しい時期です。ここで突然加速し、巨大な波が広大...

オフページ最適化の主な要素は何ですか?

以前、SEO には 2 つの側面があると述べました。 1 オンページ最適化2 オフページ最適化オンペ...

「新しいインフラ」はクラウドサービス市場にとって「最後の一押し」

2020年に新型コロナウイルス感染症の流行が始まって以来、全国各地で「新たなインフラ」を求める声が聞...

Tencent Cloudはサーバーレスの「障害」を克服するための3つのソリューションを用意している

[51CTO.com からのオリジナル記事] サーバーレスは、イベント駆動型、ステートレス、メンテナ...