HTTPS監視装置の危険性とか
- カテゴリ:
- Nonセキュリティエンジニア向け
- 雑談
https://japan.zdnet.com/article/35098402/
HTTPS監視装置って直訳すぎてどう言えばいいのかわからないのですが(笑)、
SSL/TLSのセキュリティソフト製品ってことでいいのかなと。
SSL/TLSは主に次の2つの目的で使用されています。
1.クライアントが通信しているサーバーの認証
2.クライアントとサーバーの間で送信されるデータの暗号化
ただ、SSL/TLSは
直接サーバへアクセスしている(通信している)のではなく、
通信全体のとある一箇所でのみ証明書の検証と暗号化を行なっているので、
監視機器とWebサーバとの間で攻撃できてしまいますし、
証明書そのものを使って通信しているシステムやその宛先が
ユーザーの期待するものであるかどうかはあずかり知らぬところだったり、
監視装置が証明書の検証エラーについてクライアント側にレポートすることもほとんどないために
クライアント側がウェブサーバとの通信を正しいものと認識してしまう、などの問題があり、
万能ではないので
他の対策も同時に講じる必要があるよ、という話(2015年位には言われてた)が前提で、
上記を未だ改善できていない製品があるので確認してくださいねーってところだと思うのですが、
また追加情報があったらのせます。
(大規模な中間者攻撃でもどこかで予告されてるんですかねー)
コメント