Firefox、一部のウイルス対策製品の影響でSHA-1対応を一時的に復活 2
ストーリー by hylom
そんな落とし穴が 部門より
そんな落とし穴が 部門より
Firefox 43で1月1日よりSHA-1を使って署名された新規の証明書のサポートが中止された。しかし、これによって「中間者攻撃的な挙動を行うデバイス」を利用しているユーザーがHTTPSを利用できない状況になったことから、Firefox 43.0.4では一時的にSHA-1を利用する証明書のサポートを復活させることにしたという(ITmedia、Mozilla Security Blog)。
いくつかのセキュリティソフトやウイルス対策ソフトなどが「中間者攻撃的な挙動を行うデバイス」に含まれる模様。こういったソフトウェアはHTTPSで保護された通信内容にアクセスするために独自に作成した証明書を利用するが、その証明書がSHA-1を利用している場合問題が発生するという。
セキュリティベンダーが脆弱性を生む (スコア:0)
最新ブラウザに対応してないセキュリティベンダーがブラウザをダウングレードしろと言ったり、SHA-1の証明書で「中間者攻撃的な挙動」してやっぱりユーザーがブラウザを旧バージョンにもどしちゃったり・・・足引っ張ってばか。
Re: (スコア:0)
教科書にも出そうな本末転倒。
どう考えても、セキュリティベンダ側の問題で、その対応に時間がかかるというのならセキュリティベンダとしての資格がないんじゃないかという話。