先日の続きで、ブログが更新されてます。
マイクロソフト http://blogs.technet.com/b/jpsecurity/archive/2011/08/30/3449893.aspx
> 不正なデジタル証明書に関する新規アドバイザリ 2607712 を公開 - 日本のセキュリティチーム - Site Home - TechNet Blogs
Windows Vista/7/XP とも "PKIoverheid" を表題に含む証明書は見当たりませんでした。
サポート技術情報 2328240 に従い、以下コマンドで、SSL 証明書キャッシュを削除してみました。Windows Vista と Windows 7 です。
certutil -urlcache * delete
(図1)
certutil -urlcache * delete コマンドにより、古い証明書信頼リスト (CTL) のキャッシュを削除するの図。(Windows Vista) 。
(画像サイズ 66.38 KB)
↑一度では削除しきれませんで、二度目に実行してもまだ削除されます。
(図2)
certutil -urlcache * delete コマンドにより、古い証明書信頼リスト (CTL) のキャッシュを削除するの図。(Windows Vista) 。
(画像サイズ 98.91 KB)
↑三度目でやっと「データはこれ以上ありません」となります。
なお機体によっては、localhost (127.0.0.1) 用のモノが消えません。
Local Proxy みたいなので、ウイルスバスターのプロキシサービス (Trend Micro Proxy Service,TmProxy.exe) が現在抱えている Cache かなあと思います。
(図3)
certutil -urlcache * delete コマンドのエラー。(Windows XP)
(画像サイズ 98.91 KB)
↑ Windows XP では、コマンドが見つからずにエラーとなります。
(図4)
certutil.exe コマンドの検索結果。(Windows XP Professional)
(画像サイズ 33.69 KB)
↑ファイル名 "certutil*.*" にて、システムフォルダー、隠しファイル、サブフォルダーを検索するとこんな感じで、見当たらず。
XP にはほんとうに実装されていないのですね。Vista 以降では、C:\windows\system32\certutil.exe にあるようです。
なお、強制削除の場合は -f オプションみたいです。
certutil -f -urlcache * delete
(関連)
古い方から時系列。
インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20110830_473860.html
> 「google.com」に対する偽SSL証明書が見つかる、認証局が取り消し -INTERNET Watch
マイクロソフト http://www.microsoft.com/japan/technet/security/advisory/2607712.mspx
> マイクロソフト セキュリティ アドバイザリ (2607712): 不正なデジタル証明書により、なりすましが行われる
Mozilla Security Blog http://blog.mozilla.com/security/2011/09/02/diginotar-removal-follow-up/
> DigiNotar Removal Follow Up at Mozilla Security Blog
Google Online Security Blog http://googleonlinesecurity.blogspot.com/2011/08/update-on-attempted-man-in-middle.html
> Google Online Security Blog: An update on attempted man-in-the-middle attacks
ITmedia ニュース http://www.itmedia.co.jp/news/articles/1109/05/news020.html
> MozillaがDigiNotarのCA認定を取り消し、政府関連証明書も失効 - ITmedia ニュース
インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20110905_475330.html
> 偽SSL証明書問題でMozillaが対応を説明、DigiNotarの証明書は恒久的に削除 -INTERNET Watch
CNET Japan http://japan.cnet.com/news/business/35006911/
> DigiNotarへのハッキング、FacebookやCIAなども影響か--証明書被害は500件以上に - CNET Japan
Microsoft http://blogs.technet.com/b/msrc/archive/2011/09/04/more-on-microsoft-s-response-to-the-diginotar-compromise.aspx
> More on Microsoft’s response to the DigiNotar compromise - MSRC - Site Home - TechNet Blogs
SANS Internet Storm Center http://isc.sans.edu/diary.html?storyid=11500
> ISC Diary | DigiNotar breach - the story so far
ITmedia ニュース http://www.itmedia.co.jp/news/articles/1109/06/news024.html
> GoogleとMicrosoft、不正SSL証明書問題に追加対応 Chromeの安定版を再度更新 - ITmedia ニュース
※ "PKIoverheid" の件について言及。
マイクロソフト http://support.microsoft.com/kb/2328240
> Windows Vista、Windows Server 2008、および以降のバージョンの Windows および Windows Server のアプリケーション ログにイベント ID 4107 またはイベント ID 11 が出力される
マイクロソフト http://blogs.technet.com/b/jpsecurity/archive/2011/08/30/3449893.aspx
> 不正なデジタル証明書に関する新規アドバイザリ 2607712 を公開 - 日本のセキュリティチーム - Site Home - TechNet Blogs
※ [2011/09/05 追記] あり。2011/08/30 付け初出掲載。
これ、証明書の仕組みを知らない人にどうやって説明しましょうね? 偽印鑑電子版?
(追記 2011/09/07)
エフセキュアブログ http://blog.f-secure.jp/archives/50626009.html
> 「Diginotar」がBlack.Spookとイランのハッカーによりハッキング
インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20110906_475443.html
> DigiNotar偽SSL証明書事件、「twitter.com」などにも拡大、全貌は未だ不明 -INTERNET Watch
SANS Internet Storm Center http://isc.sans.edu/diary.html?storyid=11512
> ISC Diary | DigiNotar audit - intermediate report available
F-Secure Weblog http://www.f-secure.com/weblog/archives/00002231.html
> DigiNotar Hacker Comes Out - F-Secure Weblog : News from the Lab
(2011/09/07 11:08 追記の追記)
Microsoft http://blogs.technet.com/b/srd/archive/2011/09/04/protecting-yourself-from-attacks-that-leverage-fraudulent-diginotar-digital-certificates.aspx
> Protecting yourself from attacks that leverage fraudulent DigiNotar digital certificates - Security Research & Defense - Site Home - TechNet Blogs
The Tor Blog https://blog.torproject.org/blog/diginotar-damage-disclosure
> DigiNotar Damage Disclosure | The Tor Blog(Snip)
> This is the list of CA roots that should probably never be trusted again:
> DigiNotar Cyber CA
> DigiNotar Extended Validation CA
> DigiNotar Public CA 2025
> DigiNotar Public CA - G2
> Koninklijke Notariele Beroepsorganisatie CA
> Stichting TTP Infos CA(Snip)
※ 下2つがよく分からない。まだまだ ブラウザーの Update があるかも。
(覚え書き)
※ 某所 (w でのコメント@2011/09/04(JST)。09/02(現地時間)付 Mozillaのブログと、08/29(現地時間)付 Google のブログについて。
Mozilla は、DigiNotar社発行の証明書を初めから全て無効化した。が、Google Chrome は問題の報告された(自社を騙る) 証明書しか無効にされておらず、DigiNotar社の発行した他社向けの証明書は有効のまま保持していた、と云う事らしいです。
実際に DigiNotar社の発行した他社向けの(Man In The Middle)攻撃が観測されたので、全て無効化する、と。
3月の CoMoDo 社の件では、侵害された証明書は特定されていたが、DigiNotar社の件はいまだに詳細不明で影響範囲が分からない、と云う対照的な状況にある、とのこと。
Microsoft 社のアドバイザリは、DigiNotar社の証明書を全て無効化する、と云う対応です。
Browser メーカーが足並みをそろえた、と言っています。
いじょうです。
-
- -