Great news! Today we are proud to announce a beta release of the next version of the Enhanced Mitigation Experience Toolkit (EMET) – EMET 4.0. Download it here: http://www.microsoft.com/en-us/download/details.aspx?id=38761 EMET is a free utility that helps prevent memory corruption vulnerabilities in software from being successfully exploited for code execution. It does so by opt-ing in software …
みなさん、こんにちは。セキュリティ レスポンス チームの村木ゆりかです。 年始に公開されたセキュリティ アドバイザリ 2798897 も記憶に新しいように、証明書に関するアドバイザリや更新は増えてきています。 今回は、マイクロソフトと、証明機関が連携して行っている証明書基盤づくりの取り組みを紹介します。 証明機関をなぜ信用するのか? セキュアなウェブサイト (HTTPS サイト) を閲覧する際に、サーバーの身分を証明し、安全な暗号化通信を行うために、証明書が利用されていることは、多くの皆さんがご存知ではないでしょうか。この証明書での認証が行われることで、ウェブサイトが信頼されるものであると処理されていますが、インターネットの世界においては、お互い知らない者同士である、ウェブサイトと、ユーザーですが、どのようにして信頼しているのでしょうか? このようなシチュエーションは現実世界でも起きています。たとえば、印鑑証明です。契約などの際に利用する印鑑は、信頼している公的機関である役所から発行された印鑑証明書を利用して、初めて出会う者同士でも信頼を確立して取引が行えるようになっています。 デジタルの世界でも同じです。証明機関は様々な審査を行った上でウェブサイトへ証明書を発行し、利用者は、証明機関を信頼することで、初めて会うウェブサイトとユーザーの間に信頼関係が生まれるのです。 このように、当事者同士だけではなく、共通の第三者を信頼することにより信頼性を確立することを、「第三者認証」と呼びます。これが、証明書を利用する基盤における基本的な仕組みです。 Windows で証明機関を信頼するとは? Windows においては、「証明機関 (CA) を信頼している」ことを、「CA 証明書を信頼された証明書としてインストールしている」 ということをもって確認します。 悪用が行われた場合や証明書の鍵を紛失してしまった場合など、何らかの問題が発生した場合、証明書の利用を取りやめるために、「証明書を信頼しない」ようにすることもできます。これを証明書の失効といいます。Windows においては、失効する方法のひとつとして、「信頼されていない証明書としてインストールする方法」があります。セキュリティ アドバイザリでは、問題の発生した証明機関の証明書の情報を公開し、それらを失効する (信頼していない証明書としてインストールする) ための更新プログラムを公開しています。(注釈 1) どの証明書を、どのような認識としてインストールしているかは、Internet Explorer から、[ツール] – [インターネット オプション] – [コンテンツ] タブの [証明書] タブから確認できます。「信頼されたルート証明機関」「信頼された発行元」「中間証明機関」にある証明書は、信頼している証明機関です。「信頼されない発行元」にある証明書は、失効した証明機関の証明書やサーバーの証明書などです。 ルート証明書更新プログラムと、自動失効ツール 現在、数百もの証明機関が世の中に構築されています。ひとつひとつの証明機関の信頼性を自身で確認し、信頼するのは大変です。また、信頼性を確認しても、CA証明書の手動でのインストールや、失効した証明書が発生する度に更新を行うのはとても大変です。 そこで、マイクロソフトでは、ユーザーのみなさんに安全にインターネットや、その他の証明書を利用した機能を利用いただくために、「ルート証明書更新プログラム」という取り組みを行っています。 このルート証明書更新プログラムでは、証明機関と連携を行い、信頼できる証明機関のリストを作成しています。 …
Over the past several months, Microsoft has made changes both to our own internal PKI practices and to the Windows Update channel (client-side and server-side) PKI handling. You’ve likely already read about those changes on the MSRC blog, the Microsoft Update blog, and in the associated KB articles (949104, 2720211). We continued this evolution last …
Microsoft’s continuing work on digital certificates Read More »
Since our last MSRC blog post, we’ve received questions on the nature of the cryptographic attack we saw in the complex, targeted malware known as Flame. This blog summarizes what our research revealed and why we made the decision to release Security Advisory 2718704 on Sunday night PDT. In short, by default the attacker’s certificate would …
Today, we released Security Advisory 2718704, notifying customers that unauthorized digital certificates have been found that chain up to a Microsoft sub-certification authority issued under the Microsoft Root Authority. With this blog post, we’d like to dig into more technical aspects of this situation, potential risks to your enterprise, and actions you can take to …