2009年03月13日

新たな中間者攻撃にはEV SSLの活用を――ベリサイン

これは、BlackHat で公表された
に対するアンサーソングですね。
こりゃどんな攻撃だったかというとにある通り、
エンドユーザーの SSL や HTTPS に対する理解の浅さを利用したり
巧妙な? 見た目の偽装によって中間車攻撃に気付かせない工夫をする
という、良く考えると中々怖い攻撃だなと思うんですが
(自分がどれだけ SSL 通信に敏感になっているか分かりませんし、いわんや例えばうちの母親)
EV だったら見た目からして分かりやすいし大丈夫だよ!! ってこと言ってらっしゃいます。

「見た目からして分かりやすい」っていうのは
EV SSL サーバ証明書を使ってるサイトを見にいくと、対応ブラウザであれば
  • アドレスバーなど分かりやすい部分が緑いろっぽくなる
  • アドレスバーなどに証明書所有者や発行者の名前が表示される
ので、そのサイトが一体誰によって運営されてるか分かりやすくなる、というものです

そんなん EV SSL じゃなくたって審査してある証明書だったら表示したらいいじゃない
と思う方もいらっしゃいますでしょうが、上は技術的な話の一部でして
審査基準も統一ルールが定められてて中々厳しい内容になっていたりして
多分、だから、その審査基準の下で名前表示してもいいよね、ってことなんだと思います。
たぶん。

Moxie Marlinspike さんのプレゼンだと
login.yahoo.com や mail.google.com のアカウント情報が引っこ抜けたということなので
この辺りに EV SSL サーバ証明書を導入した方がいいよ!! って言ってるんだと思いますが
きっとクラウドがバリバリの Web サーバが後に沢山控えているだろうサービスで
EV SSL を実現するとなると何枚くらい証明書買ったら勘弁してもらえるんでしょうねぇ。
ラベル:EV MITM
posted by OJH at 22:17| Comment(0) | TrackBack(0) | ニュース | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。