HOME»情報処理安全確保支援士掲示板»令和5年秋 午後 問2 設問1 (2)
投稿する

令和5年秋 午後 問2 設問1 (2) [1511]

 sorablueさん(No.1) 
令和5年秋 午後 問2 設問1 (2)
https://www.ipa.go.jp/shiken/mondai-kaiotu/ps6vr70000010d6y-att/2023r05a_sc_pm_qs.pdf

について教えてください。
dの回答はサーバ証明書に記載されているサーバ名は接続先のサーバ名と異なるとあります。
しかし、攻撃者はBサービスと同じURLを偽サイトに設定しています。
となれば、サーバ証明書にもBサービスと同じURLを設定するのでは?
と思いました。
まっとうな認証局であれば、攻撃者が悪意を持って作ろうとしている
サーバ証明であるとして申請を却下すると思いました。
また、信頼できない認証局であれば悪意を持った偽サイトでも
Bサービスと同じURLを設定した証明書の申請を認め発行するのでは?
と思いました。
2024.04.09 04:17
pixさん(No.2) 
SC ダイヤモンドマイスター
最近以下のスレッドで同様の質問がありました。
参考にしてみてください。
https://www.sc-siken.com/bbs/1469.html
[1469] 令和5年 午後 問2 (2)c,d

この設問は証明書エラーが発生する4つの要因についての質問となっております。
証明書エラーが発生する要因は以下4つです
・証明書チェーン(信頼されているCAから発行されているか)
・FQDNと証明書のCNの一致
・証明書の失効(CRL,OCSP)
・証明書の期限

Cは「証明書チェーン(信頼されているCAから発行されているか)」に該当し、
Dは「FQDNと証明書のCNの一致」に該当します。

>しかし、攻撃者はBサービスと同じURLを偽サイトに設定しています。
>となれば、サーバ証明書にもBサービスと同じURLを設定するのでは?
>と思いました。
この設問はこの4つの一般的な証明書エラーを解答させるものです。
本環境の攻撃者の状態を答えるものではありません。

>まっとうな認証局であれば、攻撃者が悪意を持って作ろうとしている
>サーバ証明であるとして申請を却下すると思いました。
>また、信頼できない認証局であれば悪意を持った偽サイトでも
>Bサービスと同じURLを設定した証明書の申請を認め発行するのでは?
>と思いました。
攻撃者が偽サイトで使用する証明書を一般の認証局から発行するのではありません。
以下のように攻撃者が自ら発行します。
・攻撃者の自営CAから発行
・攻撃者が自己署名証明書を発行
2024.04.09 07:09
 sorablueさん(No.3) 
pix様

いつもご教授ありがとうございます。
参照先の回答を読み理解しました。

まさにseta6261さんがおっしゃっている
>こちらで確認したかったのは偽サーバ証明書のCNに正
>規サイトのFQDNを設定したら、設問の中のFQDNが異
>なるというエラーメッセージは出なくなることです。

が疑問でしたが、本設問は以下を回答させる問題なので、
それは考慮しないのですね。
・証明書チェーン(信頼されているCAから発行されているか)
・FQDNと証明書のCNの一致
・証明書の失効(CRL,OCSP)
・証明書の期限
2024.04.09 07:42
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop