回答率: 85.47%

質問するログイン新規登録

トップに関する質問 TLSの証明書偽造による中間者攻撃について

編集履歴

質問編集履歴

4

追記

2019/06/13 04:56

投稿

urbainleverrier

スコア200

test CHANGED Viewed

File without changes

test CHANGED Viewed

@@ -45,3 +45,13 @@
 調べた内容は、申し訳ありませんが、他にありません。
+### 追記 2019/06/13 13:56
+[maisumakun](https://teratail.com/users/maisumakun)さんよりコメントいただきまして、
+アクセスするurlと証明書の間でコモンネームを確認することを念頭に置いていませんでした。
+解決しました。ご迷惑おかけしました。

3

誤植を修正2

2019/06/13 04:56

投稿

urbainleverrier

スコア200

test CHANGED Viewed

File without changes

test CHANGED Viewed

@@ -34,9 +34,9 @@
 2. examplebank.comで解決されるサーバーがサーバ証明書を送付する
-2.evil. ここで中間者が証明書を注入
+2.evil. ここで中間者がevilexamplebank.com証明書を注入
-3. クライアントが証明書の公開鍵を確認し、共通鍵を作成、送付
+3. クライアントがevilexamplebank.com証明書の公開鍵を確認し、共通鍵を作成、送付
 4. 中間者が共通鍵を復号

2

誤植を修正

2019/06/13 04:44

投稿

urbainleverrier

スコア200

test CHANGED Viewed

File without changes

test CHANGED Viewed

@@ -32,7 +32,7 @@
 1. クライアントがhttps://examplebank.comにアクセスする
-2. サーバーがサーバ証明書を送付する
+2. examplebank.comで解決されるサーバーがサーバ証明書を送付する
 2.evil. ここで中間者が証明書を注入

1

前提を追記しました

2019/06/13 04:37

投稿

urbainleverrier

スコア200

test CHANGED Viewed

File without changes

test CHANGED Viewed

@@ -11,3 +11,37 @@
 - ユーザー側でドメインを確認してもらうことで防げること。
 - ユーザー側で証明書を確認してもらうことで防げること。
+### 追記 2019/06/13 13:31
+[mikkame](https://teratail.com/users/mikkame)さん、[maisumakun](https://teratail.com/users/maisumakun)さんが回答していただいた後の追記となります。前提覆るかもしれませんが、申し訳ございません。
+ここでの証明書を中間者独自のサイトのドメインを使った証明書ということにすると、どうでしょうか。
+つまり、中間者のサイト自体は悪意あるかどうかは別として、証明書の検証やドメイン所有のチェックにかかる問題はないことを想定します。
+したがってブラウザ上部に表記されるドメインは厳密には別のドメインになっているものと思われます。
+TLSのハンドシェイク初期について私の想定する懸念は、以下の通りです。
+1. クライアントがhttps://examplebank.comにアクセスする
+2. サーバーがサーバ証明書を送付する
+2.evil. ここで中間者が証明書を注入
+3. クライアントが証明書の公開鍵を確認し、共通鍵を作成、送付
+4. 中間者が共通鍵を復号
+->その後、中間者がサイトの内容を偽装する形でクライアントと通信。
+調べた内容は、申し訳ありませんが、他にありません。