HOME»情報処理安全確保支援士掲示板»令和5年秋 午後 問3 設問2(2)
投稿する
この方法は一般的な方法です。
ドメインの使用権確認については業者によって異なります。
ほぼ全ての業者でこのディレクトリの配下に指定したファイルを置くように
指定されます。
この名前についての出どころはすみませんが不明です。
教えていただきありがとうございました。
勉強させていただきました。
令和5年秋 午後 問3 設問2(2) [1403]
wrinklyさん(No.1)
令和5年秋 午後 問3 設問2(2) について教えてください。
解答は、ア Certificate Transparency
ですが、
問題文中の、
これの意味(RFC9162(Certificate Transparency)との関連)がよくわかりません。
解説をしていただけると助かります。
よろしくお願いします。
解答は、ア Certificate Transparency
ですが、
問題文中の、
>Webサイトのドキュメントルートに".well-known/pki-validation/"ディレクトリ
>が作成され、英数字が羅列された内容のファイルが作成されていた。
これの意味(RFC9162(Certificate Transparency)との関連)がよくわかりません。
解説をしていただけると助かります。
よろしくお願いします。
2024.03.13 10:27
pixさん(No.2)
★SC ダイヤモンドマイスター
「Certificate Transparency」はデジタル証明書の発行状況、履歴を確認することが
できます。
これについては証明書発行業者からデジタル証明書を実際に購入したことがないと
イメージしずらいと思われます。
一般的に証明書発行業者からデジタル証明書を購入するために、申請者が正規に
そのドメインを所有しているかの確認が発生します。
これをドメインの使用権確認といいます。
ドメインの使用権確認の方法として、いずれかの方法が用いられます。
・WHOISデータベースのDNS管理者に連絡
・DNSのTXTレコードに指定文字列を設定
・ドメイン名のWebサーバの指定ディレクトリに指定文字列を設定したファイルを配置
本設問では
「ドメイン名のWebサーバの指定ディレクトリに指定文字列を設定したファイルを配置」
が用いられたということです。
本来であれば、Webサイトの.well-known/pki-validation/"ディレクトリに
指定された文字列(英数字が羅列された内容)のファイルのファイルを配置できるのは
そのサーバ管理者になります。
証明書発行業者は外部からそのWebサーバの.well-known/pki-validation/に
指定した文字列のファイルを配置していることを確認することによって、
デジタル証明書の申請が正規のものと判断します。
しかし攻撃者により、不正にデジタル証明書の発行が依頼され、ドメイン使用権
確認用のファイルが不正侵入によって作成されてしまうと、攻撃者が正規に発行
されたデジタル証明書を入手することができてしまいます。
設問では
・攻撃者が不正にドメイン使用権確認用のファイルをWebサーバに配置することにより
正規の証明書業者からデジタル証明書を入手した
・攻撃者がデジタル証明書を発行したという履歴を、Certificate Transparencyに
よって知る事ができた
というシナリオになります。
できます。
>Webサイトのドキュメントルートに".well-known/pki-validation/"ディレクトリ
>が作成され、英数字が羅列された内容のファイルが作成されていた。
これについては証明書発行業者からデジタル証明書を実際に購入したことがないと
イメージしずらいと思われます。
一般的に証明書発行業者からデジタル証明書を購入するために、申請者が正規に
そのドメインを所有しているかの確認が発生します。
これをドメインの使用権確認といいます。
ドメインの使用権確認の方法として、いずれかの方法が用いられます。
・WHOISデータベースのDNS管理者に連絡
・DNSのTXTレコードに指定文字列を設定
・ドメイン名のWebサーバの指定ディレクトリに指定文字列を設定したファイルを配置
本設問では
「ドメイン名のWebサーバの指定ディレクトリに指定文字列を設定したファイルを配置」
が用いられたということです。
本来であれば、Webサイトの.well-known/pki-validation/"ディレクトリに
指定された文字列(英数字が羅列された内容)のファイルのファイルを配置できるのは
そのサーバ管理者になります。
証明書発行業者は外部からそのWebサーバの.well-known/pki-validation/に
指定した文字列のファイルを配置していることを確認することによって、
デジタル証明書の申請が正規のものと判断します。
しかし攻撃者により、不正にデジタル証明書の発行が依頼され、ドメイン使用権
確認用のファイルが不正侵入によって作成されてしまうと、攻撃者が正規に発行
されたデジタル証明書を入手することができてしまいます。
設問では
・攻撃者が不正にドメイン使用権確認用のファイルをWebサーバに配置することにより
正規の証明書業者からデジタル証明書を入手した
・攻撃者がデジタル証明書を発行したという履歴を、Certificate Transparencyに
よって知る事ができた
というシナリオになります。
2024.03.13 11:38
wrinklyさん(No.3)
回答ありがとうございます。
これは、RFCか何かで規定(文書化)されているのでしょうか?
それとも、証明書発行業者で主に行われている方法で、業者によって方法が
決まっているのでしょうか?
"/.well-known/pki-validation/"
このディレクトリは、固定でしょうか?
それとも、業者によって違う、あるいは、その都度ディレクトリを指定されるの
でしょうか?
>ドメインの使用権確認の方法として、いずれかの方法が用いられます。
>・WHOISデータベースのDNS管理者に連絡
>・DNSのTXTレコードに指定文字列を設定
>・ドメイン名のWebサーバの指定ディレクトリに指定文字列を設定したファイルを配置
これは、RFCか何かで規定(文書化)されているのでしょうか?
それとも、証明書発行業者で主に行われている方法で、業者によって方法が
決まっているのでしょうか?
"/.well-known/pki-validation/"
このディレクトリは、固定でしょうか?
それとも、業者によって違う、あるいは、その都度ディレクトリを指定されるの
でしょうか?
2024.03.13 13:33
pixさん(No.4)
★SC ダイヤモンドマイスター
>これは、RFCか何かで規定(文書化)されているのでしょうか?
>それとも、証明書発行業者で主に行われている方法で、業者によって方法が
>決まっているのでしょうか?
この方法は一般的な方法です。
ドメインの使用権確認については業者によって異なります。
>"/.well-known/pki-validation/"
>このディレクトリは、固定でしょうか?
>それとも、業者によって違う、あるいは、その都度ディレクトリを指定されるの
>でしょうか?
ほぼ全ての業者でこのディレクトリの配下に指定したファイルを置くように
指定されます。
この名前についての出どころはすみませんが不明です。
2024.03.13 13:46
wrinklyさん(No.5)
わかりました。
ありがとうございました。
ありがとうございました。
2024.03.13 14:02
納豆のたれさん(No.6)
CABフォーラムという業界団体が規定しています。
MUST be located under the “/.well-known/pki-validation” directory
と書いてあるので、ディレクトリは固定です。
MUST be located under the “/.well-known/pki-validation” directory
と書いてあるので、ディレクトリは固定です。
2024.03.13 16:39
pixさん(No.7)
★SC ダイヤモンドマイスター
>CABフォーラムという業界団体が規定しています。
教えていただきありがとうございました。
勉強させていただきました。
2024.03.13 16:48