情報処理安全確保支援士掲示板

掲示板検索:

[0625]H26 春 午後1 問3

 MITMさん(No.1) 
設問2(1)において、偽Webサイトに誘導された利用者のブラウザにサーバ証明書が検証できない警告が表示されるのはなぜでしょうか?
偽Webサイトに誘導されているのであれば、そもそもサーバ証明書すら導入されていない可能性が高いと思うのですが。。。

分かる方、教えていただきたいです。
2021.03.16 19:36
昭和62年さん(No.2) 
サーバ証明書を検証できないのは、ブラウザが偽サイトの証明書のルート証明書を持っていないから。
つまり、偽サイトの証明書がオレオレ証明書だから。

この問題は2014年の出題で、登場するX銀行はEV証明書を利用しています。
となると、X銀行の正規サイトではブラウザのアドレスバーが緑色になったはずです。
攻撃者はEV証明書を取得できない前提で、アドレスバーが緑色にならないので攻撃に気づく....
※現在、各ブラウザはEV証明書でもアドレスバーを緑にするのをやめてしまっています。
やめた理由は、利用者はアドレスバーの色なんて見ていないかららしいです。

サーバ証明書すら導入されていない場合
現在、証明書なしの状態では「保護されていない通信」や「セキュリティ保護なし」などと
表示されるので、おかしいとわかるはずです。
2014年当時どうだったかは記憶にございません。
2021.03.17 10:45
 MITMさん(No.3) 
ご回答いただきありがとうございます!

偽サイトはオレオレ証明書を利用していたということですね。
問題文中からはそれが読み解けず、私は以下の観点で回答していました。

>現在、証明書なしの状態では「保護されていない通信」や「セキュリティ保護なし」などと
  表示されるので、おかしいとわかるはずです。
2021.03.17 11:31

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

投稿削除用のパスワード(20文字以内)

プレビュー
※宣伝や迷惑行為を防止するため、当サイトとIPAサイト以外のURLを含む文章の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2021 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop