ComputerworldとCIO Magazineは閉鎖しましたComputerworldとCIO Magazineは 2023年5月23日で閉鎖しました。 長らくのご購読ありがとうございました。 日経クロステック TOPページ
Symantecが内部テスト用と称して実在のドメインの証明書を勝手に作っていた件
Kazuho Oku @kazuho 大手CAがこれは… / そして「as of June 1st, 2016, all certificates issued by Symantec itself will be required to support Certif… htn.to/NzSouX2AV 2015-10-29 22:40:14 Kazuho Oku @kazuho まとめると、certificate transparencyのログに不正なgoogle . comのEV証明書が現れる→G「おいsymantecなにやってんねん」→S「内部テスト用に使ってただけや。これがリストや」→G「うそつけもっといっぱいあるのはわかってるんや」→S「ごめん」 2015-10-29 22:48:56
Windowsで「不正なCAルート証明書」を確認して削除する
対象ソフトウエア:Windows 7/Windows 8/Windows 8.1/Windows Server 2008 R2/Windows Server 2012/Windows Server 2012 R2 解説 2015年2月中旬、レノボ製の個人向けPCの一部にプレインストールされた「Superfish」というソフトウエアが、深刻なセキュリティ上の問題を引き起こす危険性があることが報道された。 LenovoのノートPCに不正なアドウェア、SSL通信を傍受(ITmediaエンタープライズ) Lenovo、「Superfish」プリインストールについて公式見解を発表(ITmedia PC USER) Lenovo、不正ソフトの削除ツール公開 他のアプリに影響も(ITmediaエンタープライズ) このソフトウエアは、一緒にインストールされた「CAルート証明書」を利用して、同じコンピュータ
Google、「SHA-1」サポート中止のスケジュールを発表
米Googleは9月5日、データの改ざん検知などに使われるハッシュ関数の「SHA-1」の脆弱性が指摘されていることを受け、11月にリリース予定の「Chrome 39」からSHA-1のサポートを段階的に廃止すると発表した。 SHA-1を巡っては、安全度が低くなって「衝突攻撃」と呼ばれる攻撃も容易になりつつあるとGoogleは指摘する。主要ブラウザと電子証明書を発行する認証局の業界団体CA/Browser Forumは2011年、全認証局に対してできるだけ早くSHA-1の使用を段階的に中止するよう勧告。他の業界団体も同様の勧告を行っていた。 こうした現状に対応して11月に正式版が公開されるChrome 39では、2017年1月1日以降に失効するエンドエンティティ証明書(リーフ証明書)でSHA-1ベースの署名を使っているHTTPSサイトについて、「セキュアだがマイナーなエラーあり」と認識。URL
自社サーバと交信するスマホアプリにおけるサーバ証明書の発行手法について(SSL Pinningと独自CA再考)
■背景 自社のサーバと通信する自社アプリについて、本来不要であるにも関わらず他社であるCAに認証情報の管理を委託することが多いわけですが、CAが証明書を誤発行した結果情報漏洩が発生したとして、その責任は自社にはないと主張できるのか、もう一度考えなおしたほうがいいんじゃないかと思うんです — Kazuho Oku (@kazuho) July 15, 2014 .@ockeghem @smbd @ando_Tw スマホアプリの提供においてはコードの署名鍵を安全に管理することが求められますが、その前提において通信相手の認証管理をCAに委託することにどれほどの意味があるんでしょう — Kazuho Oku (@kazuho) July 14, 2014 ■他社CAは信頼できるのか 特定のCAにpinningするのはしないより安全だけど、そもそも誤発行しないCAなんてあるのかという議論は重要。見知
Microsoft Security Advisory 2798897
Security Advisory Microsoft Security Advisory 2798897 Fraudulent Digital Certificates Could Allow Spoofing Published: January 03, 2013 | Updated: January 14, 2013 Version: 1.1 General Information Executive Summary Microsoft is aware of active attacks using one fraudulent digital certificate issued by TURKTRUST Inc., which is a CA present in the Trusted Root Certification Authorities Store. This fr
Googleドメイン向けの不正証明書、主要ブラウザメーカーが失効措置
「*.google.com」のドメイン向けに手違いで不正な証明書が発行されて攻撃が発生。Google、Microsoft、Mozillaは問題の証明書を失効させる措置を講じた。 「*.google.com」のドメイン向けに不正な証明書が発効されていたことが分かり、主要ブラウザメーカーが問題の証明書を失効させる措置を講じている。 米Googleのセキュリティブログに1月3日付で掲載された情報によると、Google Chromeが12月24日に不正なデジタル証明書を検出して遮断。調べたところ、問題の証明書はトルコの認証局TURKTRUSTの傘下の中間認証局(CA)が発行していたことが判明した。 TURKTRUSTの説明によれば、2011年8月に2組織に対して通常のSSL証明書を発行すべきところを、手違いで中間CA証明書を発行していたことが分かったという。このためGoogleは12月25日から2
トルコの認証局、中間CA証明書を誤発行--グーグルやMS、対応を明らかに
GoogleとMicrosoftが米国時間1月3日にそれぞれ明らかにしたところによると、トルコに拠点を置くある認証局(CA)が2012年12月にセキュリティ証明書を「誤って」発行したことで、その電子証明書の交付を受けたある組織によって、さまざまなGoogleサイトへのなりすましが可能な偽の証明書が作成されてしまったという。 GoogleのエンジニアであるAdam Langley氏のブログ投稿によると、「Google Chrome」は12月24日、「*.google.com」ドメイン向けの無認可セキュリティ証明書を検出し、ブロックしたという。同氏によると、この証明書のブロック後、Googleによる調査が行われ、問題の証明書がトルコの認証局であるTURKTRUST傘下の中間認証局により発行されたものであると特定できたという。 ウェブサイトの正当性を証明する電子ドキュメントである証明書が不正に作
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
