Bulletproof TLSニュースレター#24

ニュースソース:Bulletproof TLS Newsletter

以下の文章は、2017年1月31日公開されたBulletproof TLS Newsletter #24を要約したものです。


FirefoxとChromeが安全でないログインフォームについて警告を開始

FirefoxとChromeが不完全なhttps利用のパスワード入力フォームに警告を出すようになりました。
パスワード入力欄がある入力フォームへの接続がhttpの場合、Firefox Version51は、赤色のストロークでロックが表示されます。
Chrome56は、URLバーの前に「安全ではありません」と表示されます。

これは、SSL Strippingを防止するためです。
フォームがhttp経由で送信され、フォームからのデータがhttpsを介して送信される場合、通常、データは安全に送信されます。
ただし、攻撃者はSSL Strippingという手法でフォームを操作して、自分が管理している場所にデータを強制的に送信できます。

かなりの数の顕著なサイトが警告を受けています。


GoDaddy、Symantecなどから証明書不正発行

今月、認証局が違法証明書を発行した2件の大事件が公開されました。

GoDaddyが、ドメインの所有者の適切な検証なしに8,850枚もの証明書を発行しました。
これは、2016年6月に導入され、2017年1月初めに発見されたバグによるものです。

また、シマンテックが所有者が要求していないドメインに対していくつかのテスト証明書を発行したことが明らかになりました。
証明書は、example.com、test.comなどのドメインで発行されました。
シマンテックは、これらの証明書はパートナーのKorean Electronic Certification Authorityによって発行されたと説明しています。
同様のテスト証明書はGlobalSignとVerizonからも発行されていました。