CANN(Internet Corporation for Assigned Names and Numbers)は、SSL(Cryptographic Sockets Layer)証明書の重要性を強調するセキュリティ情報を発行しました。不適格な拡張子を持つドメイン名とは何ですか?どのようなリスクがあるのですか?なぜICANNはSSL証明書がこのリスクを防御できると考えているのですか?
DNS(Domain Name System)とは、インターネットに接続されているコンピュータやサーバー、その他のリソースに名前を付けるためのシステムです。例えば、www.mycompany.com这个主机名是由三个DNS标签组成的:"www "はローカルホスト名、"mycompany "は第2レベルドメイン名、".com」がトップレベルドメインです。ホスト名は、すべてのラベルが明示的に指定され、少なくとも1つのパブリックにルーティングされたIPアドレスが関連付けられている場合、完全修飾ドメイン名です。ホスト名「www.mycompany.com」は、ローカルのhostsファイルまたはDNSリゾルバによってIPアドレスに変換できます。
組織はしばしば、「mail」、「wiki」、「exchange」などの非限定ドメイン名を使用してローカルネットワーク上のマシンを識別し、ユーザーが内部リソースの短縮名を入力して組織を検索できるようにしています。ユーザーは内部リソースのショートネームを入力して組織を検索できます。このような人間が認識できるローカルホスト名は、IPアドレスに比べて覚えやすく、識別しやすいという利点もあります。これらのホストがパブリックIPアドレスを持たない場合、そのホストはドメイン名を持たないものとみなされます。
電子フロンティア財団は、CA(認証局センター)が、ローカルな企業ネットワークのマシンを識別するために使用される、一般的に不適格な何千ものドメイン名に対して正当な証明書を発行していることを発見しました。一般に信頼されている認証局が発行するデジタル証明書は、ホスト名がインターネット上で単一のリソースを一意に識別することを意味するのに対し、これらの不適格なドメイン名は一意ではなく、誰でも証明書を取得できるため、セキュリティ上の問題が生じます。https://或ps://ki的证书。
攻撃者が不適格なドメイン「mail」の証明書を入手した場合、その証明書はブラウザやオペレーティング・システムのトラスト・ストア内のCAセンターにリンクすることができ、攻撃者はこの証明書を「mail」という内部ネットワーク内のあらゆるメール・サーバに対する中間者攻撃に使うことができます。攻撃者は「mail」と呼ばれる内部ネットワーク内のどのメールサーバーに対しても、中間者攻撃でこの証明書を使うことができ、この証明書は完全なID偽造です。攻撃者とサーバー間の接続は正常に見え、証明書をチェックすると、攻撃者の証明書が公に信頼されたCAまたは企業全体のプライベートCAによって発行されたことがわかります。
この問題は、さまざまなCAセンターが内部ドメイン名用の標準以下の拡張子も発行しているという事実によって悪化しています。たとえば、「.corp」拡張子はすでに多くのプライベートな企業ネットワークで使用されていますが、「.corp」拡張子は現在、将来のgTLD(ジェネリックトップレベルドメイン)として検討されています。新gTLDが運用開始となれば、「.corp」やその他の新gTLDで発行された証明書は、実際のドメイン名からユーザーへリダイレクトされる可能性があります。
企業管理者は、内部リソースへのアクセスに非修飾証明書を使用しないことで、中間者攻撃によるリスクに対処することができます。た と えば、 メ ール ・ サーバーには完全修飾 ド メ イ ン https://il.mycompany.com/ を通 じ てのみア ク セ ス で き、 https://il/ を通 じ てはア ク セ ス で き ません。アクセス。証明書を発行する企業は、Microsoft Certificate Server などの独自のプライベート CA センターを使用し、非修飾ドメインやプライベートな非ルーティング IP アドレスに対して証明書を発行せず、既存のそのような非修飾証明書を失効させる必要があります。
