Chrome/Firefox/Safariがカザフスタン政府の証明書をブロック、政府による傍受に対処 23
ストーリー by hylom
そんなことがあったのか 部門より
そんなことがあったのか 部門より
Anonymous Coward曰く、
一党独裁が続く中央アジアのカザフスタンでは、2016年より国民に政府発行のルート証明書のインストールが義務付けられている。これに対しては政府がHTTPS通信を傍受できるのではないかと危惧されていたが、今年7月に実際にカザフスタン政府による中間者攻撃が報告されたことから、主要ブラウザが一斉にこの証明書をブロックする事態となっている(GIGAZINE、ITmedia、ZDNet Japan)。
ブロックを行ったのはFirefoxおよびGoogle Chrome、Safari。また、Chromiumのソースコード内に含まれているブロックリストにこの証明書が追加されているため、ほかのChromiumベースのWebブラウザでもブロックが行われるとのこと。
政府認証基盤(GPKI)のサービス停止 (スコア:2)
> 2019年8月24日(土)8:00~8月25日(日)21:00の間、保守のために統合リポジトリ及び政府共用証明書検証サーバへのアクセスを停止します。
こういうのってアリなの?
認証系サービスを止めるってあんまり聞いたことないのだが みな困らないのだろうか
https://www.gpki.go.jp/documents/notice.html [gpki.go.jp]
Re:政府認証基盤(GPKI)のサービス停止 (スコア:1)
Mozillaに「一昨日来い」と突っぱねられてお亡くなりになったアプリケーションCA(ウェブサイトの閲覧に使われる)ではなく、ブリッジ認証局(行政機関と民間認証局の相互認証の仲介)の話だから、基本的に役所が動いてない時間帯なら認証系サービス止めても問題はないかと
Re: (スコア:0)
逆にいうと、何らかの理由(攻撃や障害)で
広く使われているルート証明書の証明書検証サーバが長時間ダウンしたら
インターネットに重大な問題が発生するってことだから、きっと大丈夫なのでは?
でなきゃ今の何でもかんでもHTTPSでHTTPはリダイレクト以外用意しないって
今の流れは安全だけど脆すぎるということになる。
ルート証明書を軽く見てはいけない (スコア:1)
まあ普通の人は軽く見てないだろうけど。
この例を見ても分かるように、相手にすべてを差し出すぐらいの意味がある。
Re: (スコア:0)
スラドはSectigo Limitedという認証局が発行した証明書をつかっているけど、カザフスタンのROOT証明書があったら、スラドとの通信を見られたり、改ざんしたりできるの?
もっというとROOT証明書を発行している団体は、すべてのHTTPS通信を読もうと思えば、読み放題ってこと?
できる (スコア:3, 参考になる)
カザフスタンのROOT証明書の偽サーバを作り、通信をプロキシすることでできる。
ブラウザは証明書が違うものに変更されても、ルート証明書からチェーンしていれば何の警告も表示しないからね。
ユーザが証明書を確認すれば、「あれ?なんでスラドがカザフスタンの認証局になったのだろう?」と気が付くが、
主要ブラウザは認証局名を確認するのに2クリック以上いるので、わざわざやる人は1%も居ないだろう。
Re:ルート証明書を軽く見てはいけない (スコア:3)
偽の証明書を署名することができます。その証明書を使ってプロキシサーバを動かすことで、中間者攻撃ができます。
本物の証明書を持った本物のサーバに直結されては意味がなく、偽の証明書を使って偽のサーバを本物だと信じ込ませることで攻撃が成立します。
カザフスタンの法律は守らなくてよいのか? (スコア:1)
心情的には開発者グッジョブ!って感じなんですが、一方で(例え独裁政権が決めた法だとしても)カザフスタンで使う際には守らなきゃいけないんじゃないのという疑問も。
ネットの常識的には許されない事だから法律には従わない、ってのが正しい事なのかというのは、頭の片隅に置いた方が良いかもしれません。
まあカザフスタンぐらいの規模だと、各社「そんな法律に従えというならお前の国には提供しない」で終わりでしょうが。
例えば中国が同じ事言ってきたらどうするのかは気になる。
Re:カザフスタンの法律は守らなくてよいのか? (スコア:1)
カザフ国民にルート証明書のインストールが義務付けられてるだけで、ブラウザ開発者には何の制約もない(できない)と思う。
カザフ国民も「証明書インストールしたけどブラウザが拒否するんだよね(テへペロ」ってことで咎められないんじゃないかな。
# そのうち、カザフ専用ブラウザとか登場しそうだな
Re: (スコア:0)
スマホならバンドルさせるだろうし、
カザフ内のインターネットでよく使われるサイトに偽ルート証明書とそれに繋がる証明書をつけて
ルート証明書のインストールをしないと見えないようすれば、多数の国民はインストールするのでは?
Re: (スコア:0)
Mozilla: https://blog.mozilla.org/security/2019/08/21/protecting-our-users-in-k... [mozilla.org]
To protect our users, Firefox, together with Chrome, will block the use of the Kazakhstan root CA certificate. This means that it will not be trusted by Firefox even if the user has installed it.
Google: https://security.googleblog.com/2019/08/protecting-chrome-users-in-kaz... [googleblog.com]
Chrome will be blocking the certificate the Kazakhstan government required users to install:
手動でルート証明書をインストールしたとし
近くカザフスタンに行きますんで (スコア:0)
アルマトイで一泊するだけですが、行ったら自分のスマホでFirefoxのダウンロードサイトにアクセスしようとしてみます。
もし、これで証明書エラーが出るようだったら、政府がFirefoxのサイトを自国証明書を使って乗っ取って、証明書拒否機能を削った改造版をダウンロードするように仕向けていると考えられる。
ヌルスルたん、そこまでやるかなぁ。
Re: (スコア:0)
予告通りカザフスタンから書き込み中です。
日本から持ってったスマホでfirefoxダウンロードサイトに行きましたが、ふつうに緑の鍵マークが出ました。
Re: (スコア:0)
ブラウザ開発者がカザフスタンに旅行した時に身柄拘束されるリスクはあるかもな
Re: (スコア:0)
原則としては国の主権の及ぶ範囲は「場所」によって決まる。(そうじゃないケースもいろいろあるけど)
たとえば中国で「こういうソフト禁止」としても中国の外には関係ない。中国人が中国以外で使っても関係ない。
だがそのソフトを中国に持ち込んだりすると中国は主権を行使して取り締まれる。
Re: (スコア:0)
他国の法に従うかどうかは、各々の価値観や損得勘定に従って自由に判断すればいいと思いますよ。
国が異なれば文化も道徳も違うんですから、双方が納得できる正しさというのは追求不能なことも多いですし。
次は公認ブラウザの強制? (スコア:0)
>Chromiumのソースコード内に含まれているブロックリストにこの証明書が追加されているため、
除去して再コンパイルして政府公認ブラウザとして配布すれば…。
Re: (スコア:0)
最近、出てきてるChromium版Edgeもかな?
Re: (スコア:0)
Edgeを再ビルドできるソースが提供されているのですか?
Chromiumは単体ブラウザとして動作する全ソースが提供されていると思ったのですが
(ここが間違っていたらスマン)
そうするとオープンソースというのはこういう目的で再ビルドされうるので危険だという話をしたかったのですが…。
Re: (スコア:0)
Edgeも自動的に追従するとして、WindowsがEdge取りに行く時にMSの署名のない偽Edgeを入れさすのは難しいんじゃないかね。
あと、Chromeに対してChromiumは特許に抵触する機能が除去されてるとか無かったっけ。
Androidもストア周りは自家ビルド用には非提供とかあるし。
まぁオプソでも署名周りまで公開するバカはそうは居ないから、
どマイナーなクソフォーク作ってもシェア取れなきゃ無害。
……スマホのストアにはオープンな類似アプリがごろごろしてっけどなー……
ほかのChromiumベースのWebブラウザでもブロックが行われる (スコア:0)
Edge「じゃあ俺もブロックだ!」
カザフスタン「誰だおまえ」
Re: (スコア:0)
どのあたりが面白いのか分からないので解説お願い
組織内検閲しやすいやつを (スコア:0)
企業とかでは従業員のwebアクセスを監視したい需要があるんだから、
組織内プロキシサーバ経由のアクセスで簡単に検閲できるような
オープンな規格をつくって、それを主要ブラウザに実装してほしい