最近、Googleは認証局(CA)がGoogle Domains用の偽造証明書を発行したことを発見しました。これは、配信層安全(TLS)と安全なHTTP(HTTPS)によって供給される依存関係を犠牲にし、鍛造証明書のホルダーが中間攻撃を行うことを可能にします。
あなたがチェックアウトしているWebサイトが彼らが本当に保険を請求することを検証するために、あなたのブラウザはあなたがアクセスしているサーバーによって提供された証明書が信頼できるCAによって署名されたことを確認します。誰かがCAから証明書を要求するとき、それらは要求を行う人の身元を確認する必要があります。あなたのブラウザ、オペレーティングシステムは、最終的に信頼できるCA(ルートCAと呼ばれる)のセットを持っています。証明書がそれらのうちの1つによって発行された場合、またはそれらが信頼する中間のCAは、接続に依存します。依存のこの構造全体は、信頼の連鎖と呼ばれます。
偽造証明書を使用すると、サーバーが本当にhttp://www.google.comであるクライアントを説得できます。これを活用して、クライアントの接続と実際のGoogleサーバーの間に登場し、セッションを盗んだ。
この場合、中間のCAはそれだけでした。これは怖いです。証明書のピニングは、このタイプの攻撃に耐えるために利用できるツールです。保留を特定の証明書に関連付けることで機能します。変更した場合、接続は信頼されません。
当局に頼ることができない場合、TLSの集中型の性質は機能しません。残念ながら、私たちはできません。