Mozilla Security Blog 日本語版

Mozilla Security Blog を日本語に翻訳(非公式)

【翻訳】パブリックな web における SHA-1 の廃止

この記事は、2016 年 10 月 18 日付で Mozilla Security Blog に投稿された Phasing Out SHA-1 on the Public Web(筆者: J.C. Jones)の翻訳です。この翻訳は公式なものではありません。詳しくはこちらをご覧ください。

インターネットの誕生から長きにわたって私たちが利用してきた SHA-1 アルゴリズムは、数学や技術の進展によって引退の時期を迎えつつあります。近い将来、強い動機と莫大なリソースを持ちさえすれば、SHA-1 アルゴリズムを用いたディジタル証明書は偽造できるようになるでしょう。

私たち Mozilla も参加している CA/Browser Forum の取り組みや、昨年お知らせした Mozilla における SHA-1 の廃止予定(参考:日本語訳)、ならびに NIST の勧告に基づき、今年の 1 月から web 用の SHA-1 証明書はほとんど発行されなくなり、より安全なアルゴリズムを利用した新しい証明書が発行されるようになりました。2016 年 5 月と比較すると、web における SHA-1 の利用率は 3.5% から 0.8% に減少したことが Firefox Telemetry の調査 で分かっています。

Firefox では 2017 年の初めより、接続先サーバが SHA-1 証明書を利用しており、かつその証明書のチェインを辿った結果 Mozilla's CA Certificate Program へ繋がった場合、「接続の安全性を確認できませんでした」というエラーが表示されるようになります。なお、この場合のエラーをユーザが無視して接続することはできません。ただし、ユーザが手動でインポートしたルート証明書にチェインが繋がった場合、デフォルト設定では SHA-1 証明書でも接続が許可されます。これにより、企業内のルート証明書といった特定のユースケース に引き続き対応できます。とはいえ、SHA-1 から可能な限り速やかに移行することを強く推奨します。

このセキュリティポリシーFirefox 51 でオプションとして導入されており、今後ポリシーの適用率を順次増加させていく見込みです。現時点で Firefox 51 は開発者向けバージョンですが、公式リリースは 2017 年 1 月を予定しています。ポリシーの適用によって実際に生じる影響を評価するため、Firefox 51 のベータ版(今年の 11 月 7 日)より、SHA-1SSL 証明書を拒否するポリシーがベータ版の一部ユーザに適用される予定です。結果が良好であれば、適用するベータ版ユーザの範囲を拡大してゆきます。来年 1 月に Firefox 51 がリリースされた際には、ベータ版と同じく一部のユーザにポリシーをまず適用し、やがて 2017 年の初めには、公に信頼されている認証局から発行された SHA-1 証明書のサポートを終了することになります。

SHA-1 証明書に関するご質問は mozilla.dev.security.policy へ直接お願いいたします。

【翻訳】アドオンのピン留めに関する脆弱性とセキュリティ更新

この記事は、2016 年 9 月 16 日付で Mozilla Security Blog に投稿された Update on add-on pinning vulnerability(筆者: Selena Deckelmann)の翻訳です。この翻訳は公式なものではありません。詳しくはこちらをご覧ください。

Firefox と Tor Browser が特殊な条件下で「中間者攻撃」(MITM)に脆弱であることが、今週(訳注:2016 年 9 月第 3 週)の初めにセキュリティ研究者によって報告されましたFirefox はインストール済みのアドオンを HTTPS 通信で自動的に更新しますが、証明書の誤発行に対する追加対策として、FirefoxMozilla の web サイトの証明書も「ピン留め」しています。そのため、Mozilla の更新サイトを騙った未認証の証明書を攻撃者が取得できた場合でも、アドオンの更新過程を危殆化させることはできません。

Firefox のリリース時に "Preloaded Public Key Pinning" を更新する過程に隙があったため、2016 年 9 月 10 日以降の Firefox 48、そして 2016 年 9 月 3 日以降の Firefox ESR 45.3.0 において、アドオン更新時に参照すべきピン留めが無効になっていました。その時点において、Mozilla の web サイトとして誤発行された証明書を取得できた攻撃者であれば、自身の掌握するネットワーク上にいる任意のユーザに対して、アドオンの更新時に悪意のある内容を受信させることが可能でした。

アドオンを何もインストールしていないユーザに影響はありません。しかしながら、Tor Browser はアドオンを含んでいるため、Tor Browser の全ユーザは脆弱である可能性があります。悪意のある証明書の存在は現時点まで確認できておらず、そのような証明書を取得するには認証局をハッキングないし危殆化させる必要があります。しかし今回の事案は、国家レベルの攻撃から保護されたい Tor ユーザにとっては懸念事項と思います。Tor Project はセキュリティ更新を金曜(2016 年 9 月 16 日)の初めにリリースしており、MozillaFirefox の修正版を 9 月 20 日(火)にリリースします。

Firefox を最近更新していないユーザのため、アドオンの更新サーバに Public Key Pinning Extension for HTTPHPKP)も適用しました。毎日行われるアドオンの更新確認の際に新しいピン留めが適用されるため、それ以降のユーザは攻撃から保護されることになります。

【翻訳】Firefox AddressSanitizer ビルドの配布場所が変更になりました

この記事は、2016 年 9 月 9 日付で Mozilla Security Blog に投稿された Firefox AddressSanitizer builds have been moved(筆者: decoder)の翻訳です。この翻訳は公式なものではありません。詳しくはこちらをご覧ください。

今回のお知らせは、AddressSanitizer (ASan) を組み込んだプレビルド版の Firefox を使用しているセキュリティ研究者の皆さんに向けたものです。ASan ビルド版は MozillaFTP サーバから先日までダウンロードできましたが、内部ビルドインフラの変更により配布場所が変わります。今後は TaskCluster というビルドシステムからダウンロードできます。ほとんどの場合、テスト目的であれば最新版のビルドで十分です。最新版のダウンロードは以下のリンクから簡単に行えます。

Firefox AddressSanitizer ビルドの最新版

TaskCkuster の公開 API を利用すれば、より詳細なクエリをシステムに発行することができます(例:過去のビルドの取得)。詳しくは こちらのドキュメント を参照してください。