[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00945] Re: メタデータ取得時のサーバ証明書検証に関する問題について
- Subject: [upki-fed:00945] Re: メタデータ取得時のサーバ証明書検証に関する問題について
- Date: Thu, 25 Jun 2015 19:05:54 +0900
- From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>
NII西村です。
学認参加のSPについてはメタデータ自体の署名検証が行われるため対処は
不要と案内しているところですが、一点補足させてください。
メタデータURLがSHA-2証明書で提供されている場合、一部の古いOS(例えば
CentOS 5)ではトラストアンカー(ca-bundle.crt)の不備のためメタデータ
取得でエラーが発生する可能性があります。
エラーになる場合は、また現在エラーにならなくてもリポジトリのSHA-2移
行でエラーになることを避けるために、以下のページを参考に必要なルート
CA証明書の追加を行ってください。
詳細: https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=19431537
# 上記ページはセコムのルートCA証明書の追加手順となっていますので、
# 他の認証局の証明書を使っている場合は読み替えてください。
PS
冒頭で学認のSPは対処不要と書きましたが、現在の学認技術ガイドは
多層防御の観点からサーバ証明書検証を有効にする手順となっており、
さらに上記リンクを提示しトラストアンカーを確認してもらう手順となって
おります。
On 2015/06/25 11:18, 国立情報学研究所 学認事務局 野田 wrote:
> 学認情報交換ML 参加者各位
>
> 国立情報学研究所 学認事務局の野田です。
> 平素より学認の運営にご協力を賜り,ありがとうございます。
>
> 学認で提供している技術ガイドではフェデレーションメタデータを自動取得す
> る設定をご案内しておりますが,ダウンロード先のURLにHTTPSサイトを指定し
> ても,Shibboleth SPでは接続先のサーバ証明書の検証が行われないことが確
> 認されました。(*)
> 各管理者におかれましては,影響をご確認の上,適切な対処を行っていただき
> ますようお願いいたします。
> # 本アナウンスは,2015年4月8日付で学認参加IdP / SP管理者に送信したものと
> 同一です。
> # IdPと個別に連携しているSPも影響を受ける可能性がありますので,
> # ご確認の程,宜しくお願い申し上げます。」
>
>
> 1. 影響を受ける範囲
>
> 次の例に示すように署名検証を行わず追加のIdPメタデータを読み込んでいる場
> 合,当該SPは中間者攻撃を受け悪意あるIdPから接続される危険性があります。
> なお,学認の運用フェデレーション・テストフェデレーションのものを読み込ん
> でいる部分については,技術ガイドに従っていればダウンロード後のメタデータ
> に対してメタデータ自体に施された署名検証が行われるため影響を受けません。
>
>
> ■ /etc/shibboleth/shibboleth2.xmlでリモートのメタデータを取得する際に
> HTTPSの通信のみを信用している場合(メタデータの署名検証を行っていな
> い場合)
>
> (証明書検証が行われない設定の例)
> <MetadataProvider type="XML" uri="https://example.com/metadata.xml"
> backingFilePath="backing-metadata.xml" reloadInterval="7200">
> </MetadataProvider>
>
>
> 想定されるケースとしては,次のように学認以外のメタデータを読み込んでい
> る場合で,かつメタデータへの署名およびSP側でメタデータの検証を行ってい
> ない場合が考えられます。
>
> ・学内でローカルのフェデレーションを構築している場合
> ・SPに直接読み込ませるためにIdP側でメタデータを公開している場合
>
>
> 2. 対処方法
>
> 次に示す例のようにMetadataProviderにTransportOptionを3行追加し,
> HTTPSサイトの証明書検証を有効にしてください。
>
> (証明書検証を行う設定の例)
> <MetadataProvider type="XML" uri="https://example.com/metadata.xml"
> backingFilePath="backing-metadata.xml" reloadInterval="7200">
>
> <TransportOption provider="CURL" option="64">1</TransportOption>
> <TransportOption provider="CURL" option="81">2</TransportOption>
> <TransportOption provider="CURL"
> option="10065">/etc/pki/tls/certs/ca-bundle.crt</TransportOption>
> </MetadataProvider>
>
> ※ 3行目のca-bundle.crtはCentOS 5/6の場合のパスとなります。OSやディス
> トリビューションごとに異なる場合がありますので適宜修正してください。
>
> 他の対処方法としては,リモートから直接取得せず,安全な方法(wgetコマン
> ドやブラウザ等のサーバ証明書検証機能を利用してダウンロードする等)でメタ
> データを取得してローカルに配置しそれを読み込むよう修正することが考えられ
> ます。
>
>
> (*) - この挙動は下記ページに明記されている公知のものであり,Shibboleth
> SPの仕様とされています。
> https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPReloadableXMLFile
--
西村健
国立情報学研究所 TEL:03-4212-2890