HOME»情報処理安全確保支援士掲示板»H26 春 午後1 問3
投稿する
»[0623] 平成24年春期 午前Ⅱ 問23 の解説について 投稿数:8
»[0622] 解答欄の文字数について 投稿数:3
H26 春 午後1 問3 [0625]
MITMさん(No.1)
設問2(1)において、偽Webサイトに誘導された利用者のブラウザにサーバ証明書が検証できない警告が表示されるのはなぜでしょうか?
偽Webサイトに誘導されているのであれば、そもそもサーバ証明書すら導入されていない可能性が高いと思うのですが。。。
分かる方、教えていただきたいです。
偽Webサイトに誘導されているのであれば、そもそもサーバ証明書すら導入されていない可能性が高いと思うのですが。。。
分かる方、教えていただきたいです。
2021.03.16 19:36
昭和62年さん(No.2)
サーバ証明書を検証できないのは、ブラウザが偽サイトの証明書のルート証明書を持っていないから。
つまり、偽サイトの証明書がオレオレ証明書だから。
この問題は2014年の出題で、登場するX銀行はEV証明書を利用しています。
となると、X銀行の正規サイトではブラウザのアドレスバーが緑色になったはずです。
攻撃者はEV証明書を取得できない前提で、アドレスバーが緑色にならないので攻撃に気づく....
※現在、各ブラウザはEV証明書でもアドレスバーを緑にするのをやめてしまっています。
やめた理由は、利用者はアドレスバーの色なんて見ていないかららしいです。
サーバ証明書すら導入されていない場合
現在、証明書なしの状態では「保護されていない通信」や「セキュリティ保護なし」などと
表示されるので、おかしいとわかるはずです。
2014年当時どうだったかは記憶にございません。
つまり、偽サイトの証明書がオレオレ証明書だから。
この問題は2014年の出題で、登場するX銀行はEV証明書を利用しています。
となると、X銀行の正規サイトではブラウザのアドレスバーが緑色になったはずです。
攻撃者はEV証明書を取得できない前提で、アドレスバーが緑色にならないので攻撃に気づく....
※現在、各ブラウザはEV証明書でもアドレスバーを緑にするのをやめてしまっています。
やめた理由は、利用者はアドレスバーの色なんて見ていないかららしいです。
サーバ証明書すら導入されていない場合
現在、証明書なしの状態では「保護されていない通信」や「セキュリティ保護なし」などと
表示されるので、おかしいとわかるはずです。
2014年当時どうだったかは記憶にございません。
2021.03.17 10:45
MITMさん(No.3)
ご回答いただきありがとうございます!
偽サイトはオレオレ証明書を利用していたということですね。
問題文中からはそれが読み解けず、私は以下の観点で回答していました。
表示されるので、おかしいとわかるはずです。
偽サイトはオレオレ証明書を利用していたということですね。
問題文中からはそれが読み解けず、私は以下の観点で回答していました。
>現在、証明書なしの状態では「保護されていない通信」や「セキュリティ保護なし」などと
表示されるので、おかしいとわかるはずです。
2021.03.17 11:31
その他のスレッド
»[0624] 各年度の午後1,午後2問題について 投稿数:4»[0623] 平成24年春期 午前Ⅱ 問23 の解説について 投稿数:8
»[0622] 解答欄の文字数について 投稿数:3