2016/03/25 03:14 編集
削除
投稿2016/02/11 12:54
こんにちは。
microsoftやGoogleからSHA1を使用した証明書の廃止スケジュールが出ています。
マイクロソフト ルート証明書プログラムでの SHA-1 ハッシュ アルゴリズムの廃止
https://technet.microsoft.com/ja-jp/library/security/2880823.aspx
Google、「SHA-1」サポート中止のスケジュールを発表
http://www.itmedia.co.jp/enterprise/articles/1409/08/news043.html
コンピュータの処理能力向上によってSHA1を利用していると、
ある証明書と同じメッセージダイジェストになる公開鍵を生成するコストが下がってきているため、
偽の公開鍵と本物のCA署名をくっつければ偽の証明書ができあがってしまうことになる
という脆弱性に対応するためと理解しています。
・参考
http://2u-moomin.blog.so-net.ne.jp/2014-09-28
偽の証明書が出来上がるというのは理解したのですが、
偽の証明書が出来上がったときにどんな問題が発生するのかが良く理解できていません。
例えばhttps://test.comといったサイトがあったとして、
このサイトで利用している証明書が偽造されたとします。
しかし、偽造されたからと言ってhttps://test.comというドメインは、すでに取得されているので
第三者がhttps://test.comというサイトを立ち上げて、何か悪いことをすることはできないはずです。
また、https://test.comと中身が酷似したhttps://test-b.comといったサイトを立ち上げて何か悪いことをする場合、
https://test-b.comに対して新規に証明書を申請して利用すれば良いと思っています。
そもそも偽物が作られてしまうこと自体は問題なのかもしれませんが、
証明書を偽造された場合、どのような被害が発生することが考えられるのでしょうか?
すいませんが、お分かりになるかたお教えください。
回答7件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/03/25 03:13 編集
2016/03/22 12:02
2016/03/25 03:13 編集
2016/03/22 12:31 編集
2016/03/25 03:13 編集
2016/03/23 01:26 編集
2016/03/23 00:42
2016/03/23 02:33