• はてなブックマーク
  • テクノロジー
  • GodaddyのSSL証明書にドメイン認証の脆弱性があり8850件の証明書が失効された
  • Twitterでシェア
  • Facebookでシェア

GodaddyのSSL証明書にドメイン認証の脆弱性があり8850件の証明書が失効された

テクノロジー カテゴリーの変更を依頼 記事元:blog.tokumaru.org
適切な情報に変更
209 usersがブックマーク コメント34

    記事へのコメント34

    • 注目コメント
    • 新着コメント
    securecat
    securecat 確かに、ファイル名をコードと同一にしない設計というのは忘れがちな気もする

    2017/01/12 リンク

    その他
    junjun777
    junjun777 「ファイル名?同じでいいんじゃない?」はやりがちな気がするのでブクマ

    2017/01/12 リンク

    その他
    ockeghem
    ockeghem 速報として日記書いた

    2017/01/12 リンク

    その他
    cms-kekato
    cms-kekato これ、GoDaddyのOEM的ブランドを利用していたら、連絡来ると同時に失効させられて対応が大変だった。ので、Let's Encryptに移行した。

    2017/01/12 リンク

    その他
    t_yamo
    t_yamo いやいやいや。ないないない。 / ステータスコードチェック有無よりファイル名と中身が同じで中身の文字列が含まれるか否かでチェックという方がナシだと思う。リクエストを画面に出すケース沢山あるでしょ。

    2017/01/12 リンク

    その他
    Lewisik
    Lewisik 海外のサービスはクライアントに説明しづらいから使ってないけど、めも。

    2017/01/12 リンク

    その他
    misomico
    misomico 例えば、 https://www.checkpoint.co.jp が切れてる。iPhoneだとみれちゃうな

    2017/01/12 リンク

    その他
    y-kawaz
    y-kawaz 別ファイル名やステータスチェックは紛れを減らす為の予防的対策ではあるが、本質的には「指定URL中のコード設置でドメイン認証する手法」の問題と思う。/GoogleAppsも似た問題があって昔記事書いた。>http://bit.ly/2jlhNAy

    2017/01/12 リンク

    その他
    anoncom
    anoncom お粗末なチェック、というかこんなもんで通っちゃうものなのか(ステータスコードを見ていなかったのか)

    2017/01/12 リンク

    その他
    rryu
    rryu 「キーを記入したファイルを置く」じゃなくて「このファイルを置く」という認証にしておけば完全一致で比較できたのに……

    2017/01/12 リンク

    その他
    deep_one
    deep_one うちがよく使うところはドメインの管理者アドレス(rootとかpostmasterとか)にメールを送ってくるタイプの認証だな。…すごくがんばれば傍受で突破できる気がしている。

    2017/01/20 リンク

    その他
    TokyoIncidents
    TokyoIncidents "GoDaddy社の発行するドメイン認証SSL証明書に認証不備の脆弱性があり、予防的な処置として8850件の発行済証明書が失効された。これは同期間に発行された証明書の2%未満である。現在は脆弱性は解消されている"

    2017/01/13 リンク

    その他
    Jxck
    Jxck ステータスコードをちゃんと確認しなかったことが問題なのか。

    2017/01/13 リンク

    その他
    chopapapa
    chopapapa お粗末すぎて草生える

    2017/01/12 リンク

    その他
    sin20xx
    sin20xx Godaddyは大規模な事業者でAPI経由での発行もできるので地味に利用者が多いんだよね。値段も安いしね。しかしやりがちなミスではあるなぁ。サイト認証とかでこの手の方法多いのだが、他の事業者は大丈夫なんだろうか?

    2017/01/12 リンク

    その他
    fashi
    fashi 「ステータス404なのに、レスポンス中にコードが含まれているために、認証は成功してしまう」

    2017/01/12 リンク

    その他
    misomico
    misomico 例えば、 https://www.checkpoint.co.jp が切れてる。iPhoneだとみれちゃうな

    2017/01/12 リンク

    その他
    rjge
    rjge “バグが混入したのは2016年7月29日であり、2017年1月10日までに解消” 似たような認証システムちょいちょい見かけるから気をつけよ…

    2017/01/12 リンク

    その他
    wisboot
    wisboot ドメイン所有者の確認は、攻撃先Webサイトの実装によっては第三者が不正に認証を取得しうる可能性があったのか。確かに確認がザルすぎる/認証も自動化してたからだろうなー

    2017/01/12 リンク

    その他
    d6rkaiz
    d6rkaiz レスポンスコードが200で且つファイル内容に規定の内容が入ってるかどうかをチェックしたらOKという内容なら書いたことあるけど、レスポンスコードを無視するのはありえん。

    2017/01/12 リンク

    その他
    rryu
    rryu 「キーを記入したファイルを置く」じゃなくて「このファイルを置く」という認証にしておけば完全一致で比較できたのに……

    2017/01/12 リンク

    その他
    kfujii
    kfujii なるほど。

    2017/01/12 リンク

    その他
    fujiyama3
    fujiyama3 『ファイル名とファイルの中身の両方に同一の認証コードを含めるという設計』ひどいなコレ。バグってレベルじゃないぞ。使わんでよかったGodaddy。

    2017/01/12 リンク

    その他
    nikoli
    nikoli 今時こんなお粗末な方法がまかりとおる脆弱性があったなんて…

    2017/01/12 リンク

    その他
    longroof
    longroof ううーん(;´Д`)…

    2017/01/12 リンク

    その他
    uunfo
    uunfo なるほどなあ

    2017/01/12 リンク

    その他
    manFromTomorrow
    manFromTomorrow ダディクール・・・

    2017/01/12 リンク

    その他
    mas-higa
    mas-higa grep で認証してたんか?

    2017/01/12 リンク

    その他
    Haaaa_N
    Haaaa_N こんな証明局!こんな!certbotに駆逐されてしまえ!

    2017/01/12 リンク

    その他
    t_yamo
    t_yamo いやいやいや。ないないない。 / ステータスコードチェック有無よりファイル名と中身が同じで中身の文字列が含まれるか否かでチェックという方がナシだと思う。リクエストを画面に出すケース沢山あるでしょ。

    2017/01/12 リンク

    その他
    anoncom
    anoncom お粗末なチェック、というかこんなもんで通っちゃうものなのか(ステータスコードを見ていなかったのか)

    2017/01/12 リンク

    その他
    mumincacao
    mumincacao どめいん認証は基本的に DNS れこーど追加する方式でやってるけど単純にふぁいる名を内容に含めるだけだと Apache のでふぉえらーでも通るなぁ・・・ Nginx はせーふっぽい?(・x【みかん

    2017/01/12 リンク

    その他
    hatomugicha
    hatomugicha こんな証明もあんのね

    2017/01/12 リンク

    その他
    koroharo
    koroharo “ファイル名とファイル中に記述する認証コードは別々に発行することで、仮にステータスのチェックが抜けていても脆弱性にならないような設計となります。このように、予防的な設計を心がけることが重要です。”

    2017/01/12 リンク

    その他
    securecat
    securecat 確かに、ファイル名をコードと同一にしない設計というのは忘れがちな気もする

    2017/01/12 リンク

    その他
    y-kawaz
    y-kawaz 別ファイル名やステータスチェックは紛れを減らす為の予防的対策ではあるが、本質的には「指定URL中のコード設置でドメイン認証する手法」の問題と思う。/GoogleAppsも似た問題があって昔記事書いた。>http://bit.ly/2jlhNAy

    2017/01/12 リンク

    その他
    vndn
    vndn あ、なるほど。

    2017/01/12 リンク

    その他
    Lewisik
    Lewisik 海外のサービスはクライアントに説明しづらいから使ってないけど、めも。

    2017/01/12 リンク

    その他
    junjun777
    junjun777 「ファイル名?同じでいいんじゃない?」はやりがちな気がするのでブクマ

    2017/01/12 リンク

    その他
    cms-kekato
    cms-kekato これ、GoDaddyのOEM的ブランドを利用していたら、連絡来ると同時に失効させられて対応が大変だった。ので、Let's Encryptに移行した。

    2017/01/12 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    GodaddyのSSL証明書にドメイン認証の脆弱性があり8850件の証明書が失効された

    エグゼクティブサマリ GoDaddy社の発行するドメイン認証SSL証明書に認証不備の脆弱性があり、予防的な処...

    ブックマークしたユーザー

    • infamousagree2017/02/02 infamousagree
    • sanko04082017/01/26 sanko0408
    • mjtai2017/01/21 mjtai
    • deep_one2017/01/20 deep_one
    • pantsuffer2017/01/17 pantsuffer
    • punitan2017/01/14 punitan
    • zoidstown2017/01/14 zoidstown
    • respepic2017/01/13 respepic
    • hamasyou_bot2017/01/13 hamasyou_bot
    • TokyoIncidents2017/01/13 TokyoIncidents
    • Jxck2017/01/13 Jxck
    • sawarabi01302017/01/13 sawarabi0130
    • dividebroccoli2017/01/13 dividebroccoli
    • mstk_knife2017/01/13 mstk_knife
    • honeybe2017/01/13 honeybe
    • habarhaba2017/01/13 habarhaba
    • palm842017/01/13 palm84
    • prrknh2017/01/12 prrknh
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.