パスワードを忘れた? アカウント作成
13987889 story
Chrome

Chrome/Firefox/Safariがカザフスタン政府の証明書をブロック、政府による傍受に対処 23

ストーリー by hylom
そんなことがあったのか 部門より

Anonymous Coward曰く、

一党独裁が続く中央アジアのカザフスタンでは、2016年より国民に政府発行のルート証明書のインストールが義務付けられている。これに対しては政府がHTTPS通信を傍受できるのではないかと危惧されていたが、今年7月に実際にカザフスタン政府による中間者攻撃が報告されたことから、主要ブラウザが一斉にこの証明書をブロックする事態となっている(GIGAZINEITmediaZDNet Japan)。

ブロックを行ったのはFirefoxおよびGoogle Chrome、Safari。また、Chromiumのソースコード内に含まれているブロックリストにこの証明書が追加されているため、ほかのChromiumベースのWebブラウザでもブロックが行われるとのこと。

  • > 2019年8月24日(土)8:00~8月25日(日)21:00の間、保守のために統合リポジトリ及び政府共用証明書検証サーバへのアクセスを停止します。
    こういうのってアリなの?
    認証系サービスを止めるってあんまり聞いたことないのだが みな困らないのだろうか
    https://www.gpki.go.jp/documents/notice.html [gpki.go.jp]

    ここに返信
    • by Anonymous Coward on 2019年08月24日 9時39分 (#3674593)

      Mozillaに「一昨日来い」と突っぱねられてお亡くなりになったアプリケーションCA(ウェブサイトの閲覧に使われる)ではなく、ブリッジ認証局(行政機関と民間認証局の相互認証の仲介)の話だから、基本的に役所が動いてない時間帯なら認証系サービス止めても問題はないかと

    • by Anonymous Coward

      逆にいうと、何らかの理由(攻撃や障害)で
      広く使われているルート証明書の証明書検証サーバが長時間ダウンしたら
      インターネットに重大な問題が発生するってことだから、きっと大丈夫なのでは?

      でなきゃ今の何でもかんでもHTTPSでHTTPはリダイレクト以外用意しないって
      今の流れは安全だけど脆すぎるということになる。

  • by Anonymous Coward on 2019年08月23日 17時40分 (#3674296)

    まあ普通の人は軽く見てないだろうけど。
    この例を見ても分かるように、相手にすべてを差し出すぐらいの意味がある。

    ここに返信
    • by Anonymous Coward

      スラドはSectigo Limitedという認証局が発行した証明書をつかっているけど、カザフスタンのROOT証明書があったら、スラドとの通信を見られたり、改ざんしたりできるの?

      もっというとROOT証明書を発行している団体は、すべてのHTTPS通信を読もうと思えば、読み放題ってこと?

      • できる (スコア:3, 参考になる)

        by Anonymous Coward on 2019年08月23日 18時46分 (#3674344)

        カザフスタンのROOT証明書の偽サーバを作り、通信をプロキシすることでできる。
        ブラウザは証明書が違うものに変更されても、ルート証明書からチェーンしていれば何の警告も表示しないからね。

        ユーザが証明書を確認すれば、「あれ?なんでスラドがカザフスタンの認証局になったのだろう?」と気が付くが、
        主要ブラウザは認証局名を確認するのに2クリック以上いるので、わざわざやる人は1%も居ないだろう。

      • 偽の証明書を署名することができます。その証明書を使ってプロキシサーバを動かすことで、中間者攻撃ができます。
        本物の証明書を持った本物のサーバに直結されては意味がなく、偽の証明書を使って偽のサーバを本物だと信じ込ませることで攻撃が成立します。

  • by Anonymous Coward on 2019年08月23日 20時31分 (#3674395)

    心情的には開発者グッジョブ!って感じなんですが、一方で(例え独裁政権が決めた法だとしても)カザフスタンで使う際には守らなきゃいけないんじゃないのという疑問も。
    ネットの常識的には許されない事だから法律には従わない、ってのが正しい事なのかというのは、頭の片隅に置いた方が良いかもしれません。

    まあカザフスタンぐらいの規模だと、各社「そんな法律に従えというならお前の国には提供しない」で終わりでしょうが。
    例えば中国が同じ事言ってきたらどうするのかは気になる。

    ここに返信
    • カザフ国民にルート証明書のインストールが義務付けられてるだけで、ブラウザ開発者には何の制約もない(できない)と思う。

      カザフ国民も「証明書インストールしたけどブラウザが拒否するんだよね(テへペロ」ってことで咎められないんじゃないかな。

      # そのうち、カザフ専用ブラウザとか登場しそうだな

      • by Anonymous Coward

        スマホならバンドルさせるだろうし、
        カザフ内のインターネットでよく使われるサイトに偽ルート証明書とそれに繋がる証明書をつけて
        ルート証明書のインストールをしないと見えないようすれば、多数の国民はインストールするのでは?

      • アルマトイで一泊するだけですが、行ったら自分のスマホでFirefoxのダウンロードサイトにアクセスしようとしてみます。
        もし、これで証明書エラーが出るようだったら、政府がFirefoxのサイトを自国証明書を使って乗っ取って、証明書拒否機能を削った改造版をダウンロードするように仕向けていると考えられる。

        ヌルスルたん、そこまでやるかなぁ。

        • by Anonymous Coward

          予告通りカザフスタンから書き込み中です。
          日本から持ってったスマホでfirefoxダウンロードサイトに行きましたが、ふつうに緑の鍵マークが出ました。

      • by Anonymous Coward

        ブラウザ開発者がカザフスタンに旅行した時に身柄拘束されるリスクはあるかもな

    • by Anonymous Coward

      原則としては国の主権の及ぶ範囲は「場所」によって決まる。(そうじゃないケースもいろいろあるけど)
      たとえば中国で「こういうソフト禁止」としても中国の外には関係ない。中国人が中国以外で使っても関係ない。
      だがそのソフトを中国に持ち込んだりすると中国は主権を行使して取り締まれる。

    • by Anonymous Coward

      他国の法に従うかどうかは、各々の価値観や損得勘定に従って自由に判断すればいいと思いますよ。
      国が異なれば文化も道徳も違うんですから、双方が納得できる正しさというのは追求不能なことも多いですし。

  • by Anonymous Coward on 2019年08月23日 17時59分 (#3674314)

    >Chromiumのソースコード内に含まれているブロックリストにこの証明書が追加されているため、
    除去して再コンパイルして政府公認ブラウザとして配布すれば…。

    ここに返信
    • by Anonymous Coward

      最近、出てきてるChromium版Edgeもかな?

      • by Anonymous Coward

        Edgeを再ビルドできるソースが提供されているのですか?

        Chromiumは単体ブラウザとして動作する全ソースが提供されていると思ったのですが
        (ここが間違っていたらスマン)
        そうするとオープンソースというのはこういう目的で再ビルドされうるので危険だという話をしたかったのですが…。

        • by Anonymous Coward

          Edgeも自動的に追従するとして、WindowsがEdge取りに行く時にMSの署名のない偽Edgeを入れさすのは難しいんじゃないかね。

          あと、Chromeに対してChromiumは特許に抵触する機能が除去されてるとか無かったっけ。
          Androidもストア周りは自家ビルド用には非提供とかあるし。

          まぁオプソでも署名周りまで公開するバカはそうは居ないから、
          どマイナーなクソフォーク作ってもシェア取れなきゃ無害。
          ……スマホのストアにはオープンな類似アプリがごろごろしてっけどなー……

  • Edge「じゃあ俺もブロックだ!」
    カザフスタン「誰だおまえ」

    ここに返信
    • by Anonymous Coward

      どのあたりが面白いのか分からないので解説お願い

  • by Anonymous Coward on 2019年08月25日 19時06分 (#3675086)

    企業とかでは従業員のwebアクセスを監視したい需要があるんだから、
    組織内プロキシサーバ経由のアクセスで簡単に検閲できるような
    オープンな規格をつくって、それを主要ブラウザに実装してほしい

    ここに返信
typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...