弁護士は、インターネット ドメイン名の所有権を証明することができなくなります。また、サイト所有者にセキュリティ証明書を割り当てる場合、公開されている Whois は所有権の証明ではなくなります。
つまり、例えば、弁護士に500ドルを支払って特定のドメイン名の所有権を主張する手紙を作成し、それを使ってSSL/TLS証明書を取得したり、Whoisデータベースを使って所有権の主張を裏付けたりすることができなくなります。これらの2つのセキュリティ上の抜け穴は、今週、通常は仲介業者を介してウェブサイトのHTTPS証明書を発行する認証局(CA)の規則改正によって解消されました。
インターネットユーザーは、HTTPSウェブサイトにアクセスする際に、接続を暗号化して保護するためにこれらのデジタル証明書に依存しており、サイトの証明書はドメイン名と一致している必要があります。そのため、supercyberbadgers.comの証明書が必要な場合は、通常、証明書が発行される前に、そのウェブサイトを所有または管理していることを証明する必要があります。
GoogleがChromeブラウザで、このような証明書を持たないサイトを安全でないサイトとして警告するようになったため、これらの証明書は必須となりました。Googleの検索エンジンも安全なサイトを優先します。もちろん、サイトのトラフィックを暗号化することには他にも多くのメリットがあり、最近では無料の証明書も入手可能です。
迫り来る Google Chrome HTTPS 証明書の終末に注意してください!
続きを読む
システム全体が精査されています。コードサイニング証明書がブラックマーケットで発見されました。シマンテックが発行した数百万件もの古い有料ウェブ証明書が、シマンテックがCAの「基本要件」を遵守しておらず、適切な監視なしに複数の組織がシマンテックのシステムを通じて独自の証明書を発行することを許可していたことが判明し、削除されました。
特定のドメイン名の所有者および運営者を識別するための正当な認証形式として、Whois や弁護士からの手紙を削除するために改訂されているのは、これらの「基本要件」です。
昨年 3 月、規則を決定する CA/ブラウザ合同フォーラムは、CA が「少なくともこれまで説明した方法と同等の保証レベルを持つその他の確認方法」を使用できるという曖昧な表現の規則部分を廃止し、承認された方法のリストに置き換える投票を行いました。
誰だ
この投票は全会一致でした。しかし、今年2月に行われた、より物議を醸した投票では、弁護士とWHOIS認証方式も廃止されました。以前は、弁護士が特定のドメイン名の所有権を主張する書簡を作成し、それを所有権の証明として受け入れることができました。しかし、動議を提案したDigiCertのティム・ホレビーク氏によると、弁護士は「一般的にドメインの所有権を評価する資格がない」ため、認証局は、このシステムはあまり安全ではないと判断しました。
Whois 方式により、CA は公開 Whois データベース内のドメイン所有者の名前とアドレスを証明書申請者と比較し、一致した場合に申請を承認できるようになりました。
しかし、厳重に保護されている Whois サービスは、その内容が書かれていない紙ほどの価値もないことを示すもう 1 つの兆候として、CA は、人々が簡単に偽の Whois の詳細を作成し、インターネット監視機関である ICANN が適切なレベルの認証を要求していないため、これもセキュリティ リスクを表すと判断しました。
しかし、この変更に全員が賛成したわけではありませんでした。22の認証局のうち、14社(ほぼ皆さんがご存知の通りの企業)が賛成票を投じました。一方、4社(Actalis、Disig、HARICA、OATI)は棄権し、4社(Buypass、Chunghwa Telecom、Entrust Datacard、SwissSign)は反対票を投じました。ブラウザメーカー5社はすべて賛成票を投じました(5社?そう、ComodoはChromiumをベースにした「Dragon」というブラウザを開発しているようです。誰が知っていたでしょうか?)。
しかし、78%の認証局が賛成票を投じたことで法案は可決され、8月1日(昨日)から新規則が施行されました。全ての認証局が直ちに規則に従うかどうかは不明ですが、認証局が現在廃止されている検証方法を使用していることが発覚した場合、証明書が失効するリスクがあります。セキュリティ研究者は間違いなく、まさにこのような行為に注意を払うでしょう。
ウォークスルー
このプロセスについては、ホレビーク氏がブログ記事で詳細に解説しています。注目すべきは、彼の会社であるDigiCertが、シマンテックの証明書問題の解決も担当しているということです。彼によると、この作業は完了したとのことです。
我々は、これらの変更がサイバー犯罪者から一歩先を行くための重要な一歩だと考えるホレビーク氏に話を聞いた。「基本要件の変更に関する投票が行われる際には、常にある程度の不安が伴います」と彼は語った。「しかし、脅威の状況は常に変化しており、私たちは常に改善を重ねていかなければなりません。」
これを念頭に、ホレビーク氏は、不正な証明書の発行機会を減らすため、検証ルールの厳格化をさらに推進していくと述べています。認証局(CA)には、申請者の名前を尋ねることなど、一連のベストプラクティスがあり、今後の投票では、これらを正式な要件に組み込むことが提案される予定です。また、認証局(CA)に対し、証明書にドメインの検証に使用された方法を明記することを義務付ける提案もあり、これは将来のセキュリティ上の欠陥を特定する上で役立つ可能性があります。
しかし、ホレベック氏は、検証方法には完璧なものはなく、ある状況で完全に適切なものでも、別の状況では危険な場合もあると強調している。たとえば、電子商取引サイトで第三者によって実行される可能性のある合意済みのウェブサイト変更や、オンライン出版システムのユーザーアカウントなどだ。
適切なレベルのセキュリティを提供する他のアプローチとしては、同じドメイン名からの電子メール、ドメインの DNS レコードに対する合意された変更、テスト証明書、電話呼び出し、関連付けられた IP アドレス、そしてもちろん DNSSEC と DANE などがあります。
つまり、デジタル証明書は完全なセキュリティを保証するものではないものの、詐欺師やマルウェア感染者が正規の証明書を入手することはますます困難になるでしょう。また、ブラウザがそのような証明書を持たないウェブサイトに対して警告を出すことと相まって、インターネット全体のセキュリティは多少なりとも向上するはずです。これは間違いなく良いことです。®
