取締役 平社員 ブログ (ベータ版)

パソコン ( PC ) を安全に使えるような何かごとを徒然と書いてみたいと思います。  

 -無責管理

   当ページ記事により不具合、問題が発生した場合でも責任をもちません。


   情報セキュリティ系勉強会ポータルサイト  

  セキュリティ・キャンプ  (セキュリティ・キャンプ実施協議会)   Firefox ブラウザ無料ダウンロード 



(引用記事) マイクロソフト セキュリティ アドバイザリ (2728973): 承認されていないデジタル証明書により、なりすましが行われる

コンピュータ

Windows 7 証明書無効化 ログ





先日の続き。



マイクロソフト http://technet.microsoft.com/ja-jp/security/advisory/2728973
> マイクロソフト セキュリティ アドバイザリ (2728973):
> 承認されていないデジタル証明書により、なりすましが行われる



"V1.1 (2012/07/13): このアドバイザリを更新し、「よく寄せられる質問」の「更新プログラムを適用した後、マイクロソフトの信頼されていない証明書ストア内の証明書をどのように確認することができますか?」の質問に対する回答で、許可されない証明書のリストの有効期限を修正し、2012 年 6 月 21 日 (またはそれ以降) としました。 " との事です。



Windows Vista / Windows 7 では、失効した証明書の自動更新ツール ( KB2677070 ) が、先月の定例の時に、既に適用されています。


と云う事で、早速 Windows 7 / Windows Vista にてイベント ビューアーのアプリケーション ログを見てみると、


"許可されない証明書リストの自動更新に成功しました。有効期限: 2012年6月22日 8:06:31。"


となってました。ログの日付けは、 2012/07/11 (水) の夕方です。( Windows Update は午前中に完了してます。)



(図1)

イベント ビューアーのアプリケーション ログにおける証明書無効化のログ。(Windows 7)
イベント ビューアーのアプリケーション ログにおける証明書無効化のログ。(Windows 7)
(画像サイズ 59.06 KB)




しかし、さらっとアドバイザリに書いてくれてますが、Windows XP では KB2728973 の再配布になるんでしょうか。 手元ではまだ来てませんが。


Windows XP にて証明書ストアの「信頼されない発行元」と「中間証明機関」を見てみましたが、2012/06/21 の有効期限を持っていて、失効しているブツはないんですよねぇ。


例えば、"Microsoft Online Svcs BPOS APAC CA1" (拇印が "d4 31 53 c8 c2 5f 00 41 28 79 87 25 0f 1e 3c ab ac 8c 21 77" ) の証明書は、有効期限が 2018/04/01 のままです。



(図2)

証明書ストアにおける「信頼されない発行元」一覧。(Windows XP)
証明書ストアにおける「信頼されない発行元」一覧。(Windows XP)
(画像サイズ 61.53 KB)




ちなみに、Windows 7 / Windows Vista ではそもそも「信頼されない発行元」へまったく表示されない状態です。


将来イベントログが消えてしまったら、簡単に調べる方法はもうない、と。




(追記)

AATLJRE の証明書ストアには、Microsoft 名義のルート証明書ってないんですね。


Firefox のストアも確認しましたが、やっぱりないです。


なお Firefox では「認証局証明書」の表示画面で、「中間証明書」を上下の階層でぶら下げて同時に表示するので、関係が分かり易いです。


GTE さんが、Microsoft さん向けに中間証明書を発行しているとか。


Windows のストアでは、「中間証明機関」が独立しており、発行先と発行元が左右に並ぶ表形式の一覧表示になります。どっちの表示が良いのか一長一短ありますね。




(関連)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=30281
> Update for Windows XP and Windows Server 2003 (KB2728973)

※ "2012/07/09" 付け。WGA 不要。rvkroots.exe


マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=30289
> Update for Windows Vista, Windows 7, Server 2008, Server 2008 R2 (KB2728973)

※ "2012/07/09" 付け。何故か WGA 要。ちなみにブツ の中身は XP 用と同じ。(w



・・・

@IT http://www.atmarkit.co.jp/fnetwork/rensai/pki02/pki01.html
> 電子証明書認証局



インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20110830_473860.html
> 「google.com」に対する偽SSL証明書が見つかる、認証局が取り消し -INTERNET Watch



・・・

http://d.hatena.ne.jp/TsuSUZUKI/20120606/1338931842

※ 「Adobe Approved Trust List (AATL) Update 2012-06-05」、ルート証明書のエクスポートにて、署名者名称一覧表のテキストも入手可。FirefoxJRE で簡単に一覧を入手する方法、知りたいですね。


http://d.hatena.ne.jp/TsuSUZUKI/20120711/1341983660

※ 「2012年07月の Microsoft Update (定例) 」


http://d.hatena.ne.jp/TsuSUZUKI/20120618/1340001923

※ 「2012年06月の Microsoft Update (定例) 追記」、 KB2677070 関連。


http://d.hatena.ne.jp/TsuSUZUKI/20120621/1340270300

※ 「2012年06月の Microsoft Update (定例外) 2012-06-21」、KB2677070 関連。


http://d.hatena.ne.jp/TsuSUZUKI/20120613/1339570280

※ 「2012年06月の Microsoft Update (定例) 」




いじょうです。

    • -