SIM フリーどさにっき 〜2014年4月中旬〜

by やまや
<< = >>

2014年4月13日(日)

StartSSL

_ うちのサーバではオレオレ証明書じゃない HTTPS も 動いてたりなんかする。で、実は今回の heartbleed バグ踏んでました。脆弱性が公になったその日のうちに対処は完了してる。

_ この https なサイトは SSL それ自体のテストにしか使ってなくて、他人に見られて困るコンテンツなんか何ひとつ置いてない( 暗号化しない SSL のテストなんかもするぐらいに秘密はなかった)。同じプロセスの80番の方では、外部に公開してるのとは別に自分だけがアクセスできる要認証なバーチャルホストがあるんだけど、基本的にはいろんなところから拾ってきた資料やらなんやらを置いてるだけで、外に漏れると致命的にマズいものがあるわけではない。…と考えると、今回の件で何かしら漏洩したとしても、ヤバいものといえば証明書の秘密鍵ぐらいだなぁ。これを盗まれると、どこかにうちのドメインを騙った偽サーバができたとしても SSL 的にホンモノと判定されてしまう。…うちを騙るメリットがどこに?

_ つーことで、証明書の reissue/revoke はしなくてもいいんじゃないかなー、という考えに傾いてるんだけど、まあいちおう念のため発行元の StartSSL に手続きを確認しにいってみた。

_ あー、 revoke に25ドルかかるんですって。StartSSL って、いっちゃん安い証明書はタダなんで、こんなふうにテスト用にほいほい使ってたんだけど、revoke が有料というのはちょっとした罠だなぁ。うちみたいなどうでもいい用途で、revoke までしなくてもいいじゃろ、ぐらいのところであればいいんだけど、ほんとにセンシティブな情報を扱ってるのに金をケチってここの無料証明書を使ってるようなところがあったりすると、revoke する費用もケチりそうな気が。revoke の必要があるときというのは漏洩その他の事故が起きたときなんで、その可能性があるならしっかりやっておかなきゃいけないはずなんだけど、それをちょっとでもためらわせるようなハードルを置いておくというのはよろしくないよなぁ。実際わしも revoke する気が失せたし:-)。

_ で、さらに調べていたら、この件で debian でルート CA のリストから startssl を抜こうぜという チケットが上がっていた。まあ、言いたいことはわからんでもないんだけど、今回のこの件は証明書が正しく検証できるかどうかとはまったく無関係なんで、ここのルート CA を消したところで状況がたいして変わるわけじゃないと思うんだけどなぁ。まあ、漏洩した鍵を使って正規の証明書を持った偽ホストがあらわれた場合に警告が出るというのはメリットではあるけれど、それをやるとちゃんと金を払って revoke したユーザまで巻き添えにしちゃうしなぁ。

2014年4月14日(月)

yahoo.com 定点観測

_ heartbleed バグを踏んでいたサイトのうちでも最大手であろう yahoo.com は、SSL 証明書まわりを少し前から 定期的に観察していたのでありました。

_ が、この脆弱性が発覚した 4/8 ごろはチェックしてないんだよなぁ。これまでの観測から火曜日から翌々週の金曜日までの期間の証明書を隔週で入れ替えてることがわかってるんだけど、発覚した 4/8 というのは、ちょうど入れ替え週の火曜日だったんだよね。いちおう、4/9 19時ごろから現在までは同じ証明書を使い続けていることは確認できているんだけど、脆弱性が発覚してからすぐに入れ替えて以前のを revoke したか、定期的な入れ替えだけで緊急対応をおこなったのかが判然としない。おそらく定期作業だけで緊急対応はしてないんじゃないかと思うけど、そう断言できる根拠はなし。

_ yahoo の証明書は2週間という極めて短期間で切り替わるし、もちろん秘密鍵はそのたびごとに別のものに変更されているので、今回のような事故で万が一秘密鍵が漏洩したとしても、影響を受ける期間も通常の運用に比べてかなり限定的になるというのがステキなところ。google chrome はデフォルトでは証明書の失効を確認しない(revoke しても気がつかない)ようだけど、有効期間が短ければ失効手続きをしなくても無効になるのも早いというのがうれしい。入れ替えが頻繁にあって手間がハンパないし、CA に特別対応をお願いするコストもバカにならんと思うけど、今回はこの試みがうまくいったものと考えられる。

_ 以上、IPv6 で www.yahoo.com にアクセスしたときの話。今回の件があった後も、v4 では有効期間1年の証明書を取得しなおして使ってるみたいなんで、v6 でなきゃまったく関係ない。v4 でも同じようにやっていれば、脆弱性があったにしても、筆頭格としてここまで槍玉にあがることもなかっただろうに。v6 だけでやってるのはやっぱり実験なんだろうなぁ。

_ 参考までに。www.yahoo.com (v6) の現在(4/8-4/25)の証明書。 

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
んで、以下が前回(3/25-4/11)の証明書。 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

<< = >>
やまや