ドメインの証明書を登録している他のユーザーを停止/検出する方法
低コストの自動化されたCAの急増により、スピアフィッシング攻撃を実行してWebメールシステムにログインし、RapidSSLなどの自動化サービスを使用してwidgetco.comから[email protected]への新しい証明書を発行する攻撃を緩和するために何ができるでしょうか?
google.comのような誰かが証明書を要求した場合、RapidSSLで眉が上がると思います。私にもできることはありますか?
これは実際には各CAのポリシーの問題です。それらのほとんどは、証明書を発行する前にドメインの所有権の証明を必要とします。安価なCAを使用する場合でも、これには通常、WHOIS連絡先が電子メールを受信できることを確認するか、ドメインのDNSレコードにエントリを作成する必要があります。
私はAJに同意します。安いCAでさえ、WHOISリクエストから取得したデータからの電子メールを検証する必要があることに同意します。しかし、この種の検証には多くの穴があり、暗号化による検証は保証されていません。これは、インターネット上の暗号化されていないトラフィックを盗聴/変更できる攻撃者であり、次の可能性があります。
- cAからインターネット経由で送信された電子メールを傍受します(SMTPはプレーンテキストプロトコルです。TLSで送信される場合もあります)。
- 電子メールの送信先である管理者の連絡先のドメインのDNS応答(これもプレーンテキストで送信されることが多い)を変更します。
- cAにARPスプーフィング攻撃を行い、再びCAから別のコンピューターにトラフィックを誘導します。
- cAが行うWHOIS要求を変更します(管理者の連絡先メールアドレスを攻撃者が制御するアドレスに置き換えます)。
これらの攻撃を阻止できる攻撃者は、CA署名付き証明書を生成できるはずです。繰り返しますが、これらは通常、スクリプトキディが実行できる種類の攻撃ではありませんが、ISPまたは政府が潜在的に実行できる攻撃です。
AJはそれを正しく理解し、顧客ができることはほとんどありません。このシステムの性質は、顧客が何をしても問題ではなく、被害を受ける可能性があるという点で興味深いものです。最上位のCAを使用しても(おそらくそれ以上の費用を払っても)安全ではありません。他のCAがドメインの証明書を発行する可能性があります。
ある意味では、ブラウザメーカーはCAの真の顧客です。彼らは、署名された証明書の形でCAの製品を受け入れ、使用します。 CAの動作が悪かったり、悪質な証明書につながる不適切な慣行がある場合、ブラウザーの製造元は、信頼できるストアからそのCAを削除することを選択できます。 CAを削除すると、非常に多くのサイトやビジネスに影響を与える可能性があるため、これはおそらく難しいコールです。