中国最大級の認証局「WoSign」がニセの証明書を発行していたことが判明
by Barney Moss 無料でSSL証明書を発行してくれることで、多くの自宅サーバーユーザーに重宝されている中国最大級の認証局「沃通(WoSign)」が、「偽物の証明書」を大量に発行していたことが明らかになりました。 The story of how WoSign gave me an SSL certificate for GitHub.com | Schrauger.com https://www.schrauger.com/the-story-of-how-wosign-gave-me-an-ssl-certificate-for-github-com Thoughts and Observations: Chinese CA WoSign faces revocation after possibly issuing fake certificates of Github,
トルコの認証局、中間CA証明書を誤発行--グーグルやMS、対応を明らかに
GoogleとMicrosoftが米国時間1月3日にそれぞれ明らかにしたところによると、トルコに拠点を置くある認証局(CA)が2012年12月にセキュリティ証明書を「誤って」発行したことで、その電子証明書の交付を受けたある組織によって、さまざまなGoogleサイトへのなりすましが可能な偽の証明書が作成されてしまったという。 GoogleのエンジニアであるAdam Langley氏のブログ投稿によると、「Google Chrome」は12月24日、「*.google.com」ドメイン向けの無認可セキュリティ証明書を検出し、ブロックしたという。同氏によると、この証明書のブロック後、Googleによる調査が行われ、問題の証明書がトルコの認証局であるTURKTRUST傘下の中間認証局により発行されたものであると特定できたという。 ウェブサイトの正当性を証明する電子ドキュメントである証明書が不正に作
みずほダイレクトの謎 - ockeghem's blog
ソフトバンク携帯電話のSSL方式変更に伴い、みずほ銀行のモバイルバンキングが一部使えなくなっていましたが、昨日復旧したようです。 7月3日時点では、みずほダイレクトのトップに以下のように表示されていました。URLは魚拓のものです。 現在、ソフトバンクの携帯電話からアクセスいただいた、みずほダイレクト(モバイルバンキング)の[ネット決済振込サービス]および[Pay-easy(ペイジー)税金・料金払込みサービス]において、一部のお取引がご利用いただけません。「ご利用の端末のユーザーIDを「ON」に設定し、再度アクセスしてください。」と表示された場合には、パソコンなどでご利用ください。 お客さまには大変ご迷惑をおかけしておりますことをお詫び申しあげます。 (原因につきましては現在調査中です。) http://megalodon.jp/2011-0703-0032-51/www.mizuhoban
高木浩光@自宅の日記 - EZwebブラウザの「お気に入り登録」は偽サイトを見分ける手段にならない
■ EZwebブラウザの「お気に入り登録」は偽サイトを見分ける手段にならない 6月6日の日記「Upcoming Advisories」で書いていた、脆弱性届出「IPA#45031375」*1*2の件について、製品開発者がFAQとして事実を公開し、IPA#45031375 は11月26日に取り扱い終了となった。 EZwebで表示中のページのURLを確認する方法はありますか?, KDDI, よくあるご質問/お問い合わせ, 公表日不明*3 質問: EZwebで表示中のページのURLを確認する方法はありますか? 回答: 確認方法はございません。 なお、お気に入り登録時にURLが表示されますが、そのURLはサイト提供者が任意に指定することができるため、必ずしも閲覧中のサイトと一致しない場合があります。 PCサイトビューアーの場合、「メニュー」から「ページ情報」で確認が可能です。 FAQには掲載された
高木浩光@自宅の日記 - 「UPKIイニシアティブ」でサーバ証明書発行プロジェクト
■ 「UPKIイニシアティブ」でサーバ証明書発行プロジェクト 昨夜気付いたのだが、UPKI(全国大学共同電子認証基盤)が既に今年からサーバ証明書の発行を開始していた。「UPKIイニシアティブ」のサイトに説明文書と資料が公開されている。 実は私も2年前に東工大の客員の仕事として東工大経由でUPKIの設計に意見を挟ませて頂いたことがある。GPKIとLGPKIの失敗を繰り返さないため、Web用のSSLサーバ証明書については、構築する独自PKIとは分けるべきである旨を意見した。2つの選択肢があり、1つは、Web用のSSLサーバ証明書については普通に既存のCAから買って済ませる方法、もう1つは、Webブラウザで初めから利用できる状態にある形の認証局を構築して発行する方法である。 どうなったかは、「サーバ証明書発行・導入における啓発・評価研究プロジェクト」にある資料から窺い知れる。2007年6月8日の
高木浩光@自宅の日記 - 役所のPKIの出鱈目ぶりも末期的 佐賀県警察本部の場合
■ 役所のPKIの出鱈目ぶりも末期的 佐賀県警察本部の場合 この日記が扱うテーマのひとつは、「ひとたび発生した誤り解説は作業員のコピペによって際限なく広がっていく」という現象の社会的危険性(止めることの困難性)についてである。 蔓延する「サイバーパテントデスクのWWWサーバ」, 2007年1月20日の日記 会社のポリシーは会議室で決めてない、現場でコピペしてるんだ, 2006年9月23日の日記 「リンクお断りは普通」と人の心に種を蒔くAC, 2006年9月21日の日記 やってはいけないセキュリティ設定指示 Top 15 (Windows XP SP2編), 2005年9月9日の日記 警察庁の指示がスパイウェア感染を招き金融被害をもたらしている可能性, 2005年7月22日の日記 岡山県と外務省が他人の著作物の知的所有権を主張中, 2005年7月18日の日記 PKIよくある勘違い(9)「『詳
高木浩光@自宅の日記 - APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に
■ APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に APOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について, IPA, 2007年4月19日 回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。 というわけで、POP over SSLの特需が見込まれるところだが、MUAのサポート状況はどうだろうか。 大きなシェアを占めるBecky! はというと、POP over SSLをサポートしているのだが、残念なことに図1の設定がある。 この「証明書を検証しない」は、失効確認のことではない。オレオレ証明書の警告を出さない、そのチェックさえしないという設定だ。 これを設定した場合、偽サーバに接続*1しても何の警告もなしに処理される。(パスワードは偽サーバによって復号ないし解読され得る。) ここはデフ
2007年4月18日 | Lucky Lovely Laboratory
スラッシュドット ジャパン|IE7の普及でサーバ証明書失効トラブルが続出するかも? 特定の相手に限定してオレオレ証明書を使うのはありうる(社内向けとか)が、その利用方法として警告が出ても続行しろというのは誤ってる、という話がそ ...
EV SSLでアドレスバー変色機能を正しく活用するには?-日本ベリサインが説明
日本ベリサイン株式会社は4月12日、フィッシング詐欺などのオンライン犯罪対策として期待される「Extended Validation(EV) SSL証明書」について説明会を開催。米Verisign、プロダクトマーケティングディレクタのTim Callan氏から、EV SSL証明書に関する取り組みや技術的な仕組みなどが説明された。 同氏はまず、昨今のインターネットを取り巻く環境を説明。1年前には4000カ所ほどだったフィッシングサイトがこの1年間で3万7000カ所にまで増加している点を指摘。その上で、数千人のインターネットユーザーに対して行った調査において、90%の人が正規のWebサイトとフィッシングサイトを見分けられなかったことに触れた。 そうした問題を抱える時代の要請に応えるようにして現れたのがEV SSL証明書。2007年に行われた調査では、Webブラウザのアドレスバーが緑色に変色して
高木浩光@自宅の日記 - JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり
■ JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり 一昨年7月のWASフォーラムのイベントで話した以下の件。 セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏, MYCOM PCWEB, 2005年7月12日 誤った解説や必要以上に危機感を煽る報道に不満 (略)アドレスバーがきちんと表示されていてURLが確認できる状態になった上で、SSLの鍵マークが表示され、ブラウザがSSL証明書に関する警告画面を出さなければ、いちいち証明書を開かなくても安全性は確認できるのに、未だに「安全性を確認するには証明書を開く必要がある」といった誤った解説が(それもセキュリティに詳しいとされている記者の記事の中で)なされている」と指摘。その上で「キーワードジャーナリズムは、よりユーザにとって手間のかからない対策手法を紹介すべきだし、
東京地方裁判所を騙った架空請求が来た - shckorの日記
東京地方裁判所の民事第二十部から支払命令のメールが来た。 念のために東京地裁の電話番号を独自に調べて連絡を取ったが、裁判官名と書記官名が架空であることと、事件番号が架空である事が確認出来た。 また、当たり前ではあるが、裁判所から電子メールで支払命令が送られる事はないという事も聞いた。 メール文中にある架空(または虚偽)の情報 差出人メールアドレス(ドメイン自体が存在しない) 事件番号 債権者住所(江東区に東陽5丁目はあるが、東陽町5丁目は無い) 債権者電話番号(新宿区高田馬場2丁目にある株式会社のFAX番号らしい) 裁判官名 書記官名 メール文中にある本当の情報 民事訴訟法368条(ただし、条文の内容は違う) 東京東信用金庫 住吉支店 東京地方裁判所 民事第二十部(ただし、破産部なので小額請求は扱っていないとのこと) 東京地方裁判所住所 東京地方裁判所電話番号 東京地方裁判所電子署名フィン
Latest topics > 署名と拡張機能の安全性 - outsider reflex
Latest topics > 署名と拡張機能の安全性 宣伝。日経LinuxにてLinuxの基礎?を紹介する漫画「シス管系女子」を連載させていただいています。 以下の特設サイトにて、単行本まんがでわかるLinux シス管系女子の試し読みが可能! « フィードバックできるようになって、変わったこと Main 恋人バトン » 署名と拡張機能の安全性 - Nov 16, 2006 僕を助けようという意図で無いにしろ、詳しい人がわかりやすく解説してくださって、大変助かりました。自分でも責任を果たしておこう。 拡張機能の「安全性」と言った場合に、それが指すものには二つのレイヤがある。 その拡張機能が、トロイの木馬や致命的なセキュリティ上の脆弱性など、利用者を危険に晒す要素を含んだ物であるかどうか?(内容が良いか悪いか) ダウンロードしたそのファイルが本当に、インストールしようとしている拡張機能そのも
高反発マットレスの選び方 | アフィブログに騙されない為の高反発マットレス手記
ウレタン系高反発マットレスでよく言及されるのが密度です。それを頑張って分かりやすく説明してみます。
IE 7、なりすまし対策で強化版SSLに対応へ
Microsoftは1月から、なりすましやフィッシング詐欺からユーザーを守るためのEV SSLにIE 7を対応させる。 MicrosoftのInternet Explorer(IE)が来年1月から、SSLの強化版に当たる「Extended Validation (EV) SSL Certificates」(EV SSL証明書)に対応する。IE公式ブログで11月7日、発表した。 EV SSL証明書では従来のSSLの暗号化機能に加え、なりすましやフィッシング詐欺からユーザーを守る機能が強化される。MicrosoftおよびKDE、Opera、Mozilla Foundationの主要ブラウザベンダーと、Verisign、CyberTrust、RSA Securityなどの認証機関が参加してCA/Browser forumを結成し、ガイドラインの策定に当たってきた。 MicrosoftではEV S
総務省認証局・LGPKI のルート証明書が特例措置で IE 標準装備になった件, 「安全な通信を行うための証明書」と呼ぶ悪習 - [ぴ](2006-09-28)
_ [システム運用] 総務省認証局・LGPKI のルート証明書が特例措置で IE 標準装備になった件 Windows(R) Updateによる電子政府システム向けルート証明書の配信を開始@Microsoft マイクロソフト、電子政府システムのルート証明書をWindows Updateで配布@INTERNET Watch Windows Updateで電子政府システム向けルート証明書の配信を開始@ITmedia マイクロソフトが電子政府システムのルート証明書をWindows Updateで配布@ITPro (日経本紙では「『電子政府』手続き簡略化」という見出しで、一見意味不明な内容でしたが、こっちの記事はストレートですね) 政府・官公庁の証明書をMSがWindows Updateで配布@/.J というわけで、高木浩光@自宅の日記を中心に糾弾されてきた GPKI/LGPKI のルート証明書配布
](https://cdn-ak-scissors.b.st-hatena.com/image/square/d228e8be070c32c738781e15c25aeb18f4dc6807/height=288;version=1;width=512/https%3A%2F%2Fpmakino.jp%2Ftdiary%2Ftheme%2Fogimage.png)
ウェブサイトの信頼性を高める新たな試み
ウェブブラウザの下部に表示される鍵型をしたアイコンへの信頼性が、緩い基準とずさんな監督のために低下してしまっているが、今年認証基準の強化とブラウザのアップデートが実施されれば、この信頼性も再び向上することになるだろう。 この黄色い鍵のアイコンは、アクセス中のウェブサイトとブラウザとのデータのやりとりが暗号化されており、認証機関と呼ばれる第3者組織によってそのサイトが本物であると確認/保証されていることを示している。しかし近頃では認証の基準が緩くなっていることから、鍵アイコンが表示されていても、そのサイトが安全であるとは言えなくなっている。 この問題を解決するために、SSL(Secure Socket Layer)証明書を発行する複数の企業が各ウェブブラウザの開発元と協力して、「信頼性の高い」新しいタイプの証明書を開発しようとしている。これらの企業は「CA Forum」と呼ばれる非公式な組織
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
lucanian.net