ブコニュー!

GodaddyのSSL証明書にドメイン認証の脆弱性があり8850件の証明書が失効された | 徳丸浩の日記

エグゼクティブサマリ GoDaddy社の発行するドメイン認証SSL証明書に認証不備の脆弱性があり、予防的な処置として8850件の発行済証明書が失効された。これは同期間に発行された証明書の2%未満である。現在は脆弱性は解消されている。 概要 GoDaddy社は米国のホスティング(レンタルサーバー)やレジストラの大手で、認証局(CA)の事業も手がけています。 GoDaddyが発行するドメイン認証証明書…

<全文を読む> http://blog.tokumaru.org/2017/01/godaddyssl8850.html
注目記事
1 : 名無しさん@はてブ 2017/01/12 07:45:53

速報として日記書いた

24 : 名無しさん@はてブ 2017/01/12 09:56:43

これ、GoDaddyのOEM的ブランドを利用していたら、連絡来ると同時に失効させられて対応が大変だった。ので、Let's Encryptに移行した。

25 : 名無しさん@はてブ 2017/01/12 09:57:02

「ファイル名?同じでいいんじゃない?」はやりがちな気がするのでブクマ

27 : 名無しさん@はてブ 2017/01/12 10:02:30

海外のサービスはクライアントに説明しづらいから使ってないけど、めも。

32 : 名無しさん@はてブ 2017/01/12 10:33:55

あ、なるほど。

40 : 名無しさん@はてブ 2017/01/12 11:19:43

確かに、ファイル名をコードと同一にしない設計というのは忘れがちな気もする

45 : 名無しさん@はてブ 2017/01/12 11:33:39

“ファイル名とファイル中に記述する認証コードは別々に発行することで、仮にステータスのチェックが抜けていても脆弱性にならないような設計となります。このように、予防的な設計を心がけることが重要です。”

46 : 名無しさん@はてブ 2017/01/12 11:33:52

こんな証明もあんのね

49 : 名無しさん@はてブ 2017/01/12 11:55:39

どめいん認証は基本的に DNS れこーど追加する方式でやってるけど単純にふぁいる名を内容に含めるだけだと Apache のでふぉえらーでも通るなぁ・・・ Nginx はせーふっぽい?(・x【みかん

50 : 名無しさん@はてブ 2017/01/12 11:56:08

お粗末なチェック、というかこんなもんで通っちゃうものなのか(ステータスコードを見ていなかったのか)

61 : 名無しさん@はてブ 2017/01/12 12:31:23

いやいやいや。ないないない。 / ステータスコードチェック有無よりファイル名と中身が同じで中身の文字列が含まれるか否かでチェックという方がナシだと思う。リクエストを画面に出すケース沢山あるでしょ。

63 : 名無しさん@はてブ 2017/01/12 12:40:03

こんな証明局!こんな!certbotに駆逐されてしまえ!

64 : 名無しさん@はてブ 2017/01/12 12:44:32

grep で認証してたんか?

66 : 名無しさん@はてブ 2017/01/12 12:47:58

ダディクール・・・

72 : 名無しさん@はてブ 2017/01/12 13:13:52

なるほどなあ

74 : 名無しさん@はてブ 2017/01/12 13:22:06

ううーん(;´Д`)…

80 : 名無しさん@はてブ 2017/01/12 13:35:58

今時こんなお粗末な方法がまかりとおる脆弱性があったなんて…

83 : 名無しさん@はてブ 2017/01/12 13:53:14

『ファイル名とファイルの中身の両方に同一の認証コードを含めるという設計』ひどいなコレ。バグってレベルじゃないぞ。使わんでよかったGodaddy。

85 : 名無しさん@はてブ 2017/01/12 13:57:06

なるほど。

88 : 名無しさん@はてブ 2017/01/12 14:27:09

これ他の認証局もあるのでは

89 : 名無しさん@はてブ 2017/01/12 14:31:25

「キーを記入したファイルを置く」じゃなくて「このファイルを置く」という認証にしておけば完全一致で比較できたのに……

100 : 名無しさん@はてブ 2017/01/12 15:32:35

レスポンスコードが200で且つファイル内容に規定の内容が入ってるかどうかをチェックしたらOKという内容なら書いたことあるけど、レスポンスコードを無視するのはありえん。

115 : 名無しさん@はてブ 2017/01/12 17:35:41

こういう脆弱性の話大好物。

117 : 名無しさん@はてブ 2017/01/12 17:47:47

“バグが混入したのは2016年7月29日であり、2017年1月10日までに解消” 似たような認証システムちょいちょい見かけるから気をつけよ…

120 : 名無しさん@はてブ 2017/01/12 18:11:41

「ステータス404なのに、レスポンス中にコードが含まれているために、認証は成功してしまう」

126 : 名無しさん@はてブ 2017/01/12 19:11:07

Godaddyは大規模な事業者でAPI経由での発行もできるので地味に利用者が多いんだよね。値段も安いしね。しかしやりがちなミスではあるなぁ。サイト認証とかでこの手の方法多いのだが、他の事業者は大丈夫なんだろうか?

138 : 名無しさん@はてブ 2017/01/12 20:14:37

177

145 : 名無しさん@はてブ 2017/01/12 21:09:16

お粗末すぎて草生える

149 : 名無しさん@はてブ 2017/01/12 22:58:20

ドメイン以上に、証明書には信頼できるところで高いお金を掛けないとなぁとふと思った。

157 : 名無しさん@はてブ 2017/01/13 18:31:09

"GoDaddy社の発行するドメイン認証SSL証明書に認証不備の脆弱性があり、予防的な処置として8850件の発行済証明書が失効された。これは同期間に発行された証明書の2%未満である。現在は脆弱性は解消されている"

161 : 名無しさん@はてブ 2017/01/20 11:47:29

うちがよく使うところはドメインの管理者アドレス(rootとかpostmasterとか)にメールを送ってくるタイプの認証だな。…すごくがんばれば傍受で突破できる気がしている。

人気記事

コメントする

メールアドレスが公開されることはありません。

*

ピックアップ

Return Top