HOME»情報処理安全確保支援士掲示板»サーバ証明書について
投稿する
偽造された証明書は正規の認証局から発行されていません。
そのため、証明書チェーンの検証でエラーになります。
»[1742] 令和5年秋 午後 問2 設問1(3)に解説について 投稿数:5
»[1741] H28秋 午後2 問2について 投稿数:6
サーバ証明書について [1744]
ゆーぼさん(No.1)
お世話になっております。
自身でも消化しきれてない疑問なので、抽象的かもしれませんがご了承ください。
Webサーバとの通信開始時に、
サーバ証明書の有効性を検証する手順についての質問です。
証明書の証明パスや有効期限や失効情報を検証するのは、
サーバ証明書に限らず共通の検証手順だとおもわれますが、
サーバ証明書では接続先のFQDNを証明書のSANsもしくはコモンネームと比較照合し、
接続先が本当に証明書を持っている組織のWebサイトなのかを検証する手順が有るかと思います。
この際、コモンネームやSANsが偽造されて成りすまされていた物の場合、
なりすましは検知し得るのでしょうか?
(例えば中間者攻撃+偽サイトがサーバ証明書を持ちHTTPS対応の場合)
よろしくお願いいたします。
自身でも消化しきれてない疑問なので、抽象的かもしれませんがご了承ください。
Webサーバとの通信開始時に、
サーバ証明書の有効性を検証する手順についての質問です。
証明書の証明パスや有効期限や失効情報を検証するのは、
サーバ証明書に限らず共通の検証手順だとおもわれますが、
サーバ証明書では接続先のFQDNを証明書のSANsもしくはコモンネームと比較照合し、
接続先が本当に証明書を持っている組織のWebサイトなのかを検証する手順が有るかと思います。
この際、コモンネームやSANsが偽造されて成りすまされていた物の場合、
なりすましは検知し得るのでしょうか?
(例えば中間者攻撃+偽サイトがサーバ証明書を持ちHTTPS対応の場合)
よろしくお願いいたします。
2024.09.29 21:27
pixさん(No.2)
★SC ダイヤモンドマイスター
>この際、コモンネームやSANsが偽造されて成りすまされていた物の場合、
>なりすましは検知し得るのでしょうか?
>(例えば中間者攻撃+偽サイトがサーバ証明書を持ちHTTPS対応の場合)
偽造された証明書は正規の認証局から発行されていません。
そのため、証明書チェーンの検証でエラーになります。
2024.09.29 21:47
ゆーぼさん(No.3)
pix様 お世話になっております。
攻撃者がコモンネームやSANsをなりすまして、
正規CAに証明書を発行してもらうこと自体が出来ないという事ですね。
DV証明書には無料で一括発行を請け負っている物もあったため、
発行時点で両フィールドのなりすましも可能なのかと勘違いしておりました。
あくまで、偽サイトで使われる独自ドメインの証明書の発行は受け入れているだけであって、
本物のサイトと同じFQDNによる発行は出来ないという事ですね。
ありがとうございます。
攻撃者がコモンネームやSANsをなりすまして、
正規CAに証明書を発行してもらうこと自体が出来ないという事ですね。
DV証明書には無料で一括発行を請け負っている物もあったため、
発行時点で両フィールドのなりすましも可能なのかと勘違いしておりました。
あくまで、偽サイトで使われる独自ドメインの証明書の発行は受け入れているだけであって、
本物のサイトと同じFQDNによる発行は出来ないという事ですね。
ありがとうございます。
2024.09.30 11:32
その他のスレッド
»[1743] 令和3年秋午後2問1の図10 投稿数:1»[1742] 令和5年秋 午後 問2 設問1(3)に解説について 投稿数:5
»[1741] H28秋 午後2 問2について 投稿数:6