HOME»情報処理安全確保支援士掲示板»サーバ証明書について
投稿する

サーバ証明書について [1744]

 ゆーぼさん(No.1) 
お世話になっております。
自身でも消化しきれてない疑問なので、抽象的かもしれませんがご了承ください。

Webサーバとの通信開始時に、
サーバ証明書の有効性を検証する手順についての質問です。

証明書の証明パスや有効期限や失効情報を検証するのは、
サーバ証明書に限らず共通の検証手順だとおもわれますが、
サーバ証明書では接続先のFQDNを証明書のSANsもしくはコモンネームと比較照合し、
接続先が本当に証明書を持っている組織のWebサイトなのかを検証する手順が有るかと思います。

この際、コモンネームやSANsが偽造されて成りすまされていた物の場合、
なりすましは検知し得るのでしょうか?
(例えば中間者攻撃+偽サイトがサーバ証明書を持ちHTTPS対応の場合)

よろしくお願いいたします。
2024.09.29 21:27
pixさん(No.2) 
SC ダイヤモンドマイスター
>この際、コモンネームやSANsが偽造されて成りすまされていた物の場合、
>なりすましは検知し得るのでしょうか?
>(例えば中間者攻撃+偽サイトがサーバ証明書を持ちHTTPS対応の場合)
偽造された証明書は正規の認証局から発行されていません。
そのため、証明書チェーンの検証でエラーになります。
2024.09.29 21:47
 ゆーぼさん(No.3) 
pix様  お世話になっております。

攻撃者がコモンネームやSANsをなりすまして、
正規CAに証明書を発行してもらうこと自体が出来ないという事ですね。
DV証明書には無料で一括発行を請け負っている物もあったため、
発行時点で両フィールドのなりすましも可能なのかと勘違いしておりました。

あくまで、偽サイトで使われる独自ドメインの証明書の発行は受け入れているだけであって、
本物のサイトと同じFQDNによる発行は出来ないという事ですね。

ありがとうございます。
2024.09.30 11:32
返信投稿用フォーム

お名前

顔アイコン


本文(コミュニティガイドライン⇱を順守して適切な投稿を心がけましょう)

🔐投稿削除用のパスワード

投稿プレビュー
※SQL文は全角文字で記載してください。
※宣伝や迷惑行為を防止するため、当サイト、姉妹サイト、IPAサイト以外のURLを含む文章の投稿はできません。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop