マツジローのネットワークセキュリティ日記

アクセスカウンタ

zoom RSS 誰もやらない証明書失効リストの検証!をハッカーが狙ってくる

<<   作成日時 : 2010/09/15 01:39   >>

ブログ気持玉 0 / トラックバック 2 / コメント 0

SSL やデジタル署名を安心して利用するためには、公開鍵基盤(PKI)が正しく運用されることが前提になるのです。
証明書失効リストは、信頼できない公開鍵証明書(例えば、紛失・盗難)のリストなので、証明書を使う際には「証明書失効リストに無いこと」を併せて検証しなければならない。
この証明書失効リストの検証は、PKI 運用のなかでも、面倒なところですが、やらないとダメなんですね。


ところがです、あんまりやってない。

先日紹介した Adobe ゼロディ攻撃 の原因の一つが証明書失効リストの未検証なのです。
Verisign は証明書を失効していたのに、証明書失効リストを検証しなかったので、ゼロディ攻撃に繋がった。
http://www.sophos.com/blogs/chetw/g/2010/09/13/certificate-verisign-revokes-cert-malware-fiends/


Adobe はしょうもないと言っても、みんなあんまりやってない。のが現実!
ということで、ハッカーが狙ってきているのです。

http://www.virusbtn.com/conference/vb2010/abstracts/MWood.xml

テーマ

注目テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(2件)

タイトル (本文) ブログ名/日時
プラダ 財布
誰もやらない証明書失効リストの検証!をハッカーが狙ってくる マツジローのネットワークセキュリティ日記/ウェブリブログ ...続きを見る
プラダ 財布
2013/07/07 07:25
idle muscle
N&____Xg__InbJ[__B_ }cW_[_lbg_[NZL_eB&L/EFu_u_O ...続きを見る
idle muscle
2017/02/11 02:25

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
誰もやらない証明書失効リストの検証!をハッカーが狙ってくる マツジローのネットワークセキュリティ日記/BIGLOBEウェブリブログ
文字サイズ:       閉じる