GN⁺: 마이크로소프트만 신뢰하는 브라질 인증 기관, google.com에 대한 인증서 발급
(follow.agwa.name)-
Andrew Ayeragwa14h
- 브라질의 인증 기관이 Microsoft에 의해 신뢰받고 있으며, google.com에 대해 아마도 승인되지 않은 인증서를 발급함. 이로 인해 Edge 및 기타 Windows 애플리케이션(Chrome 및 Firefox 제외)에서 Google로의 트래픽을 가로챌 수 있음. Microsoft는 이 인증 기관과 관련된 문제의 역사를 잘 알고 있으며, 2021년에 우려를 전달했으며 2022년 공개 CCADB 토론 중에도 추가 문제가 제기되었음. 이 사건이 변화를 촉발하기를 희망함. Windows 사용자는 더 나은 서비스를 받을 자격이 있음.
-
Andrew Ayeragwa12h
- 인증 기관의 무능함의 예시로, Google의 자회사 일련 번호가 포함된 인증서 주제가 있다고 해서 Google에 의해 승인된 것은 아님. 인증 기관은 해당 필드에 원하는 내용을 넣을 수 있으며, 이 인증 기관은 인증서에 넣는 내용을 명확히 검증하지 않음.
-
Andrew Ayeragwa10h
- 기업의 중간자 공격 프록시는 매우 해로움.
Hacker News 의견
-
ICP-Brasil이 공공 SSL/TLS 인증서 발급을 중단한 것에 대한 우려가 있음
- 누군가가 공공 인증서 발급 금지를 우회하고 Google의 CAA 규칙을 무시한 사례가 있음
- Microsoft OS에서 이 인증 기관이 금지되기를 바라는 의견이 있음
-
ICP-Brasil은 디지털 서명 관련 업무를 담당하는 정부 기관임
- 디지털 계약서 서명, 세금 신고서 접근 등에서 중요한 역할을 함
-
Chrome과 Firefox는 이미 이 인증 기관을 신뢰하지 않음
- Microsoft/Windows가 다른 주요 브라우저가 신뢰하지 않는 인증 기관을 신뢰하는 것은 더 나쁜 상황으로 보임
-
시스템의 결함을 지적하는 의견이 있음
- 15년 전 온라인 뱅킹을 사용할 때부터 시스템의 결함을 인식했음
- 은행 인증서 발급자를 물었을 때 은행이 답변하지 못했음
- 보안에 대한 무지와 맹목적인 신뢰에 기반한 프로세스임
-
"Windows 사용자들은 더 나은 것을 받을 자격이 있음"이라는 의견이 있음
- Microsoft의 사용자에 대한 무관심과 소송 가능성을 언급함
-
Microsoft가 인증 기관을 신뢰하는 데 있어 투명성이 부족하다는 의견이 있음
- 합리적인 웹사이트는 Chrome 등 주요 브라우저가 신뢰하는 인증서를 사용해야 함
-
Windows/Edge에서 Chrome의 신뢰 저장소를 사용할 수 있는 방법이 있는지 궁금해하는 의견이 있음
-
국가 관련 인증 기관 목록을 알고 싶다는 의견이 있음
-
원래 게시물에서 이 문제가 의도적이었는지 실수였는지 명확하지 않다는 의견이 있음
-
독립적인 기관이 인증 기관에 대한 신뢰를 제공하고 사용자가 여러 기관의 의견을 고려할 수 있는 시스템이 필요하다는 의견이 있음
-
기업이 너무 커지는 것이 문제라는 의견이 있음