SSL Hell

Security 2月 13, 2007
(Last Updated On: 2007年2月14日)

10月30日作成のページですが今みました。

Dan Kaminsky’s SSL Hell

結構笑えます。(英語のプレゼンテーションビデオです)
これではどのサイトも信用できないです。

追記:
ビデオの見なくても良いように一番重要な点だけ書きます。

SSLの公開鍵・秘密鍵がデフォルトのまま使っているサイトが多くある、というくだりです。銀行などのサイトでも「ありえない」と思える割合のサイトがデフォルトのキーペアを使っていて暗号化の意味がなくなっている!!!のだそうです。(詳しくはビデオを参照)

キーはサイト毎に生成するになぜこんな事が起きる?と思われる方もいるかもしれません。ハードウェア系のSSLソリューションには静的に生成されたデフォルトのキーペアが設定されている場合があるのですが、なんとそのキーを使っているサイトが多数存在する、とこのプレゼンで言っています…

笑うに笑えないですが、不謹慎にも笑ってしまいました。

教訓 ‐ デフォルトパスワードだけでなくデフォルトの鍵も使わない!
(当たり前すぎです…)

投稿者: yohgaki