H26 春 午後1 問3

MITMさん  
(No.1)
設問2(1)において、偽Webサイトに誘導された利用者のブラウザにサーバ証明書が検証できない警告が表示されるのはなぜでしょうか?
偽Webサイトに誘導されているのであれば、そもそもサーバ証明書すら導入されていない可能性が高いと思うのですが。。。

分かる方、教えていただきたいです。
2021.03.16 19:36
昭和62年さん 
(No.2)
サーバ証明書を検証できないのは、ブラウザが偽サイトの証明書のルート証明書を持っていないから。
つまり、偽サイトの証明書がオレオレ証明書だから。

この問題は2014年の出題で、登場するX銀行はEV証明書を利用しています。
となると、X銀行の正規サイトではブラウザのアドレスバーが緑色になったはずです。
攻撃者はEV証明書を取得できない前提で、アドレスバーが緑色にならないので攻撃に気づく....
※現在、各ブラウザはEV証明書でもアドレスバーを緑にするのをやめてしまっています。
やめた理由は、利用者はアドレスバーの色なんて見ていないかららしいです。

サーバ証明書すら導入されていない場合
現在、証明書なしの状態では「保護されていない通信」や「セキュリティ保護なし」などと
表示されるので、おかしいとわかるはずです。
2014年当時どうだったかは記憶にございません。
2021.03.17 10:45
MITMさん  
(No.3)
ご回答いただきありがとうございます!

偽サイトはオレオレ証明書を利用していたということですね。
問題文中からはそれが読み解けず、私は以下の観点で回答していました。

>現在、証明書なしの状態では「保護されていない通信」や「セキュリティ保護なし」などと
  表示されるので、おかしいとわかるはずです。
2021.03.17 11:31

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop