ウェブブラウザのセキュリティーホールが報告されていました
既に Firefox 3.5.2 では対応されているようですが
SSL証明書の CN などの解釈で NULL が入っていると
それが文字列の終わりを示すと解釈してしまって
偽の証明書でも本物だと思って受け入れてしまうというものだそうです
man-in-the-middle がこれによって成功してしまうと
暗号化されてると思って送った大切な情報が
盗聴されてしまうことになります
Black HatのNull証明書攻撃(その1?)
こんな素敵な解説がもぉ出ているます
- こんな証明書を受け入れるブラウザが悪い
- こんな証明書を出しちゃう認証局が悪い
ブラウザは、Firefox に続いて他のセキュリティーホールを持つブラウザも
更新されるでしょうから早くアップデートしましょう
Firefox と IE 以外のブラウザも、ダメだったのかな??
そもそも、ブラウザにルートが入ってるような認証局が
こういう証明書を出さなければ良い話なのですが
どこか出しちゃったところがあるみたいですね、どこだろう??
ブラウザは、常に最新のものに保ちましょう!
