SSL証明書発行企業が証明書の偽造アドウェア販売


▼ページ最下部
001 2015/02/26(木) 05:46:19 ID:67Cg9kBcVI
COMODO Internet SecurityなどのPC向けセキュリティツールの開発や、SSL証明書の発行を行うComodoが販売していたソフトウェアの「Privdog」は、
Lenovo製PCにプリインされているアドウェア「Superfish」よりも悪質なアドウェアで、HTTPSのセキュリティを完全に破壊してしまう危険性があるということが、
ドイツ人ジャーナリストのHanno Böckさんのブログ内で明かされました。


HTTPSではHTTP通信をSSLにより暗号化することで、通信内容の傍受などを防ぎ、さらに通信内容の改ざんも防ぎます。
SSLを使った安全な通信を行う際、ブラウザはウェブサーバから証明書を送ってもらい、サイトがどの認証局(CA)に認可されているのかを見ます。
そして、自分のルート証明書のリストにそのCAが含まれているかを確認し、信頼できるサイトかどうかを判断します。

しかし、PrivDogは全ての証明書を傍受し、証明書をルート鍵により署名されたものに置き換えます。
これは、あらゆる証明書が有効ではなくなることを意味し、さらにブラウザが全ての通信を承認してしまい、
SSL通信におけるCAの役割が全く意味のないものになってしまう、ということも意味します。
なお、Superfishではホストと同じ証明書と秘密鍵を使用するのですが、PrivDogは全てのインストール先で秘密鍵を再作成してしまう、とのことです。

なお、そんなPrivDogを販売しているのは「Comodo Dragon browser」や「COMODO Internet Security」などの開発元であるComodo。
ComodoはSSL認証局として証明書の発行サービスも行っているので、「自社で発行している証明書を自社が販売しているソフトウェアがニセの証明書に書き換えているかもしれない」、ということになります。

http://gigazine.net/news/20150223-comodo-adware-pr...

おいおい

返信する

※省略されてます すべて表示...

▲ページ最上部

ログサイズ:6 KB 有効レス数:11 削除レス数:1





パソコンソフト掲示板に戻る 全部 前100 次100 最新50

スレッドタイトル:SSL証明書発行企業が証明書の偽造アドウェア販売

レス投稿

未ログイン (ログイン

↑画像ファイル(jpg,gif,png)