Communes

FireFox3.6.21 update注目点

SSL認証局が不正に利用されていた!?これはまずいです。

これは注目したい点がありました。セキュリティの更新ですが、なんと、SSL不正発行企業が存在した、という内容でした。もちろんこれを対策するアップデートだったわけですが、そもそも「セキュリティソケットレイヤー:通称SSL」は通販サイトなどに使われていますが、ベリサインなどが有名で「サイトが安全だ」と言われているものですが、その通信を悪用しているのではないか?という一般ユーザーの指摘も多く、セキュリティ契約によってネットワークをSSL経由している通販サイトほどクレジットカードの漏洩が多いのでは?SSLそのものが店舗とお客以外の第3社に通信されているのでは?という指摘があったわけです。

http://mozilla.jp/firefox/3.6.21/releasenotes/

もちろん多くのSSLセキュリティ企業は不正はしませんが、インターネット犯罪が起きている、ということは中にはSSLを不正に扱っている企業もいるとい うことでしょう。またSSLは筆写も契約した経験が何十回もありますが、申込み窓口と、SSLサービス認証局と、契約管理サーバーが別になっていることも 多く、認証さえ通ってしまえば通信はApacheやTCPのログで丸見えだったりします。

Firefox 3.6.21 での変更点

Firefox 3.6.21 では、旧バージョンの Firefox 3.6 に見つかった以下の問題が修正されています。

セキュリティソケットレイヤーで通信課程が暗号化されていても、通販サイトの入力画面や、通信先のクレジットカード会社のデスクでは解読される状態であり、そこでは暗号化は行われていないわけです。(いわゆる普通の画面が暗号化されていれば、ぐちゃぐちゃになって見れないわけですし)

普通のSSLは問題ないにしても、やはりお客さまから見れば、店舗とは関係ない「自称セキュリティ」ということで第3社が介入していることでサイトの信頼は 大きく失っているのがSSLの実態というユーザーも多いようです。個人的にはSSLは素晴らしい技術だとは思いますので、SSLを否定することはありませ んが、通販サイトのお客さまから見れば「見ず知らずの第3社」が介在していることは「好ましいものではない」ということでしょう。どこの誰が何をいくらで 毎月どのくらい購入しているのか、店舗に内緒で他人が見えるわけですから。(いくらそれが業務だと言っても、です)

ましてサーバが自社にない通販ショップであれば、何を根拠に「安全な通販サイトだ」と言えるのかまるで根拠が無いわけで、レンタルサーバの会社のスタッフが悪用していれば、いくらSSLで安全でもやはり個人情報は不正に利用流用されてしまうのは否めないわけですから。

今回のFireFoxのアップデートは、SSLの不正サービスを行っていた認証局を廃除することにありました。とても素晴らしい対応でしょう。しかし一方で インターネットのSSLそのものが「たやすく破られる認証である」ということも露呈したわけです。国家レベルや国際レベルでISO14000などのように 資格を持った企業が認定するということも必要でしょう。SSLサービス企業はやっていたはすです。それを意図的に不正利用したわけで、それを即日に見抜いて処分することもなく、そうした検査基幹が権威ある罰則を持つわけでもない、そこにSSLの大きな「非セキュリティ」の問題があると言えるのでは無いでしょうか? 

換言すれば「SSLはセキュリティなどでは無くなった」というひとつの事実を物語るのかも知れませんね。事実、不思議なもので最近よく商品が売れる通販サイトは「SSLが無い方が良く売れる」というデータもあり、お客さまを追い返してしまう「SSL発行サービス」に無駄に年間数万円もハラっても「ホントにまるで無駄」だと言えるようですね。



Copyright (C) 2024 Communes ™ All Rights Reserved.