忍者ブログ

ひつ(じのひよこが)プログラミングします。
お仕事や趣味で困ったこととか、何度も「あれ?どうだったかしら」と調べたりしたこととか、作ったものとか、こどものこととかを書きます
★前は週末定期更新でしたが今は不定期更新です

2024/11    10« 1  2  3  4  5  6  7  8  9  10  11  12  13  14  15  16  17  18  19  20  21  22  23  24  25  26  27  28  29  30  »12

SSL 証明書の警告が出たら何が危ないのか

×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

コメント

ただいまコメントを受けつけておりません。

SSL 証明書の警告が出たら何が危ないのか

会社で社内サーバにアクセスしたとき こんな感じで "この接続ではプライバシーが保護されません" と表示されることがある。これ、何が危ないのか、という話。

実際、通信は SSL で暗号化されており、情報の受け取り先以外は読むことができない。が、情報の受け取り先が偽装されている可能性が残ってしまう所にこれの危なさが残る。

SSL 通信をするときは、暗号化するための鍵に添えてサーバが本物であることを示す証明書が送られてくる。先の警告はこの証明書が本物か否か疑わしいときに表示される警告である。

この警告を無視した場合、中間者攻撃を受ける可能性がある。

### あるべき通信 ###

┌────┐ ←サーバの公開鍵と証明書 ┌────┐
│ブラウザ┝━━━━━━━━━━━━━┥ サーバ │
└────┘ 公開鍵で暗号化した情報→ └────┘


### 中間者攻撃 ###

┌────┐←偽サーバの公開鍵と証明書┌────┐ ←サーバの公開鍵と証明書 ┌────┐
│ブラウザ┝━━━━━━━━━━━━━┥偽サーバ┝━━━━━━━━━━━━━┥ サーバ │
└────┘ 公開鍵で暗号化した情報→ └────┘ ブラウザからの情報を→ └────┘
                          公開鍵で暗号化した情報

偽サーバ (中間者) はブラウザからの偽サーバの秘密鍵で復号化し、本物のサーバの公開鍵で暗号化して本物のサーバに転送する。

しかし、実際の所、証明書は本物のサーバしか持っていないはずである。中間者が入ってきたときは証明書が不適切であるため警告が出る。だから、攻撃を受けていることはすぐにわかり、重要な情報を送らずに済む。

だが、もしも本物のサーバが証明書を不適切な状態のままにしていたら。ユーザは毎回仕方ないから警告を無視するだろう。そうすれば、攻撃が発生していたとしても気が付かないだろう。

PR

コメント

ただいまコメントを受けつけておりません。

ブログ内検索

P R