Googleのセキュリティが偽のウェブ証明書に泥棒

Googleは、多数の企業ドメインに対して不正なデジタル証明書が発行されたことを認めています。

Googleのセキュリティエンジニア、Adam Langley氏は、3月20日にいくつかのGoogleドメインで発行された不正なデジタル証明書を発見したと述べた。同誌のブログによると、この技術者は、中国インターネットネットワーク情報センター(CNNIC)の下で活動するエジプト企業MCSホールディングス(MCS Holdings)と呼ばれる会社によって運営されている。

CNNICはすべての主要なルートストアに含まれているので、「不正な証明書はほとんどのブラウザやオペレーティングシステムで信頼されるだろう」とLangley氏は語る。ただし、ウェブクライアントに特定の暗号化公開鍵を特定のウェブサーバーと関連付けるようにする公開鍵固定と呼ばれるフェイルセーフプロセスは、Windows、OS X、Linux、ChromeOS、Firefox 33以上のChromeをそのような偽の証明書を受け入れる。

:Ted Cruzドットコム:ドメイン名の注意書き

Googleは発見時に、CNNICと他の主要なブラウザにセキュリティ事件について警告し、CRLSetプッシュですぐにChromeでMCS Holdings証明書をブロックしたという。週末にCNNICはMCSが登録したドメインのみに証明書を発行するという基準でMCS Holdingsと契約したと回答し、説明した。しかし、適切なハードウェアセキュリティモジュールに秘密鍵を保持する代わりに、MCSはman-in-the-middleプロキシにそれをインストールしました。

Man-in-the-middleプロキシは、トラフィックの意図された宛先になりすましてセキュリティで保護された接続を傍受し、職場での従業員ブラウジングの監視など、さまざまな方法で使用できます。ただし、このシナリオでは、認証局システムの違反が発生しました。

ビジネスがそのようなプロキシを使用して安全なトラフィックを監視することを望む場合、通常、スタッフコンピュータはプロキシを受け入れて信頼するように設定する必要があります。しかし、MCSのケースでは、プロキシには認証局の完全な権限が与えられました。

この技術大手は、他のウェブサイトも偽装されている可能性があると述べている。

ラングレーの書き込み

別の、Mozilla Securityブログの別の記事では、

Googleはユーザーに悪用の兆候がないことを保証しており、Chromeユーザーはパスワードの変更を含め、何もする必要はありません。

続きを読む:セキュリティの世界で

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

カスペルスキーセキュリティサミット

StuxnetとFlameを越えて:方程式の最先端のサイバー犯罪集団が記録されている;バグ賞金:あなたが望むものを購入する;テロリストの暗号化ツールはセキュリティケープ’と赤い国旗

Yahooはパスワードなしのログインを開始し、FedMはJPMorganのハッカーの痕跡を盛り上げています。EquationDrug:10年以上にわたる洗練された秘密のデータ盗難、シマンテックの調査では接続先のセキュリティの不具合が明らかになりました。

国防総省のサイバー緊急対応を批判したペンタゴン

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応