Heartbleed + DNS Poisoning の合わせ技がやばい

OpenSSLのHeartbleedで証明書の秘密鍵が盗まれた可能性のあるサービスがたくさんあるようで、すぐに失効と再発行の手続きをしようというアナウンスがありました。

でも、ちゃんと証明書が失効されたことがブラウザまで伝わっているかというとそれは嘘で、Chrome は標準で証明書の失効のチェックをしないし、Firefox はOCSPはチェックするけどCRLは見ないようなんですよね。手元のクリーンな環境にFirefoxを入れてOCSP非対応の証明書を使っているページにアクセスするとCRLを取りに行くようなパケットが流れていなかったので、本当っぽいです(ちゃんと検証したわけじゃないけど)。

ちなみに、証明書の失効のチェックがCRLのみのものにはGPKIってものがあったりします。他にもいくつか見つけています。

ってことは失効された証明書を使ったサイトにアクセスしても気づけない環境ってのはそれなりにあるわけですよ。

で、とどめを刺しそうなのがNSへの毒入れ、委任インジェクション攻撃です。 この2つが組合わさると（あっ

（ここでこの記事は途切れています）