質問編集履歴
4
追記
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -21,4 +21,9 @@
|
|
|
21
21
|
4. 中間者が共通鍵を復号
|
|
22
22
|
->その後、中間者がサイトの内容を偽装する形でクライアントと通信。
|
|
23
23
|
|
|
24
|
-
調べた内容は、申し訳ありませんが、他にありません。
|
|
24
|
+
調べた内容は、申し訳ありませんが、他にありません。
|
|
25
|
+
|
|
26
|
+
### 追記 2019/06/13 13:56
|
|
27
|
+
[maisumakun](https://teratail.com/users/maisumakun)さんよりコメントいただきまして、
|
|
28
|
+
アクセスするurlと証明書の間でコモンネームを確認することを念頭に置いていませんでした。
|
|
29
|
+
解決しました。ご迷惑おかけしました。
|
3
誤植を修正2
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -16,8 +16,8 @@
|
|
|
16
16
|
TLSのハンドシェイク初期について私の想定する懸念は、以下の通りです。
|
|
17
17
|
1. クライアントがhttps://examplebank.comにアクセスする
|
|
18
18
|
2. examplebank.comで解決されるサーバーがサーバ証明書を送付する
|
|
19
|
-
2.evil. ここで中間者が証明書を注入
|
|
19
|
+
2.evil. ここで中間者がevilexamplebank.com証明書を注入
|
|
20
|
-
3. クライアントが証明書の公開鍵を確認し、共通鍵を作成、送付
|
|
20
|
+
3. クライアントがevilexamplebank.com証明書の公開鍵を確認し、共通鍵を作成、送付
|
|
21
21
|
4. 中間者が共通鍵を復号
|
|
22
22
|
->その後、中間者がサイトの内容を偽装する形でクライアントと通信。
|
|
23
23
|
|
2
誤植を修正
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -15,7 +15,7 @@
|
|
|
15
15
|
|
|
16
16
|
TLSのハンドシェイク初期について私の想定する懸念は、以下の通りです。
|
|
17
17
|
1. クライアントがhttps://examplebank.comにアクセスする
|
|
18
|
-
2. サーバーがサーバ証明書を送付する
|
|
18
|
+
2. examplebank.comで解決されるサーバーがサーバ証明書を送付する
|
|
19
19
|
2.evil. ここで中間者が証明書を注入
|
|
20
20
|
3. クライアントが証明書の公開鍵を確認し、共通鍵を作成、送付
|
|
21
21
|
4. 中間者が共通鍵を復号
|
1
前提を追記しました
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -4,4 +4,21 @@
|
|
|
4
4
|
### 調べたこと
|
|
5
5
|
- ChromeではLet's Encryptの署名は警告を出さないこと。
|
|
6
6
|
- ユーザー側でドメインを確認してもらうことで防げること。
|
|
7
|
-
- ユーザー側で証明書を確認してもらうことで防げること。
|
|
7
|
+
- ユーザー側で証明書を確認してもらうことで防げること。
|
|
8
|
+
|
|
9
|
+
### 追記 2019/06/13 13:31
|
|
10
|
+
[mikkame](https://teratail.com/users/mikkame)さん、[maisumakun](https://teratail.com/users/maisumakun)さんが回答していただいた後の追記となります。前提覆るかもしれませんが、申し訳ございません。
|
|
11
|
+
|
|
12
|
+
ここでの証明書を中間者独自のサイトのドメインを使った証明書ということにすると、どうでしょうか。
|
|
13
|
+
つまり、中間者のサイト自体は悪意あるかどうかは別として、証明書の検証やドメイン所有のチェックにかかる問題はないことを想定します。
|
|
14
|
+
したがってブラウザ上部に表記されるドメインは厳密には別のドメインになっているものと思われます。
|
|
15
|
+
|
|
16
|
+
TLSのハンドシェイク初期について私の想定する懸念は、以下の通りです。
|
|
17
|
+
1. クライアントがhttps://examplebank.comにアクセスする
|
|
18
|
+
2. サーバーがサーバ証明書を送付する
|
|
19
|
+
2.evil. ここで中間者が証明書を注入
|
|
20
|
+
3. クライアントが証明書の公開鍵を確認し、共通鍵を作成、送付
|
|
21
|
+
4. 中間者が共通鍵を復号
|
|
22
|
+
->その後、中間者がサイトの内容を偽装する形でクライアントと通信。
|
|
23
|
+
|
|
24
|
+
調べた内容は、申し訳ありませんが、他にありません。
|