製品・サービス

サポート情報

2012/07/03

JVNVU#971035 に関するプライベートCA Gléas への影響について

IPA より Simple Certificate Enrollment Protocol (SCEP) の実装に関する情報が公開されています。

1. SCEP の実装の問題に関する詳細

iOS での OTA(over-the-air)証明書発行に利用されている SCEP プロトコルでは、証明書発行に対する認証としてチャレンジパスワードを利用することができます。しかし、チャレンジパスワードはオプションですので、製品の実装によってはパスワードによる認証をせずに証明書が発行できたり、固定のパスワードを利用してすべての証明書発行に同一のパスワードを利用するものがあります。

そのような製品においては、BYOD 環境下などで不適切なユーザ・デバイスに対して証明書を発行してしまう可能性がある、という指摘となります。

2. 対象製品

以下の製品で利用しております SCEP プロトコルが対象となります。

  • プライベートCA 『Gléas (グレアス)』バージョン 1.8以降

3. 製品への影響

JVNVU#971035 では SCEP を利用する場合に対して、以下の回避策を提案しています。

  • 同一のチャレンジパスワードを使いまわししない
  • 証明書発行依頼ができるユーザを制限する
  • 信頼できるユーザやデバイス以外からの証明書発行依頼は手動で処理する

プライベートCA Gléas では上記のすべての回避策を実装済み、もしくは設定により利用できるため、この問題の影響を受けません。

プライベートCA Gléas の SCEP の実装におけるチャレンジパスワードに対しては、利用者が LDAP や AD などとの間でパスワード認証をおこなった後で、短い期間(5分程度)のみ有効なランダムなチャレンジを生成して利用しています。また、iOS の端末情報が得られる環境においては、その情報もチャレンジを生成するうえでの「種」として利用しています。

また、プライベートCA Gléas はプライベート認証局の製品ですので、多くの場合 Gléas に接続できるユーザは、社内ネットワークに接続可能なユーザに限定されます。