TOPLOGO

SSL証明書のなりすましについて

2019-05-21 15:20:53

webサービスアプリ開発

no_image
要約:SSL証明書のなりしまし被害にあった気がするのでメモ

はじめに

今日、「YouTuber仲間募集掲示板」という自作のサービスにつながらないという現象が起きた。

そのことについて思うところを書いておく。

YouTuber仲間募集掲示板とは

httqsプロジェクトで運営されているサービスである。

URLは現在つながらない状態で、今後運営を続けていくか微妙なラインなので、書かないでおく。

他のサービスでは有効になっていて、サービスは繋がる。

このブログを含め、他のサービスはいつも通り稼働している。

なぜ、YouTuber仲間募集掲示板だけ動かなくなったのか。根本的なところは分からない。

攻撃されている可能性が高い

ここからは専門的な話になる。

私がレンタルしているサーバーでは、無料のSSLを利用することができる。

そのSSLの発行元はブラウザで簡単に調べることが可能であり、今みたところ「Let's Encrypt Authority X3」というものが使われている。

しかし、現在エラーが出ているサービスの証明書を確認したところ、「発行元: AlphaSSL CA - SHA256 - G2」という証明書が使われているということだった。

私には全く身に覚えがない発行元である。

そもそも今までの人生で証明書を一度も買ったことがない。

レンタルサーバーの方で勝手に変えた可能性があるが、ちょっと考えにくい。

「なりすまし」ってどういうことだよ

私はSSL証明書についてはざっくりとした知識しかない。一応webプログラマとして設定ぐらいはできるし説明を聞いて「ふむふむ」という感じで理解はしている。1から作れと言われれば作れない。

私が言いたいのは、「なりすまし」っていうのは簡単にできるものなのかということだ。最初にこちらで証明書をつけているサービスで上書きか何かできるようなものなのだろうか。

レンタルサーバー自体がやばい説

有名どころのサーバーを借りている。そして無料SSLを使っている。設定画面でいくつかクリックするだけで利用可能なサービスだ。そして、その証明書がエラーを起こしている。理解不能である。

なぜ、他のサービスでは有効のままなのか?

サブドメインでサービスを作っている。他のサービスでは普通に動いている。

「YouTuber仲間募集掲示板」は唯一ユーザーからのデータを投稿してもらう掲示板サービスになっている。

ここが最大のポイントだろう。おそらく攻撃者がいて、ユーザーのデータを悪用しようとしているということだろう。

他のジェネレーターなどはユーザーのデータを扱わないので攻撃しても取れるデータが無いのだ。

有効期限が切れている説

証明書は有効期限がある。ただYouTuber仲間募集掲示板より後に作ったサービスが稼働しているのでこの線はないし、上記に書いたように発行元が違っている。

問い合わせ中

正直なところ、どうすれば元に戻るのかが分からないので、レンタルサーバー会社に問い合わせしている。直るといいと思っているが、現在は、広告も張っていないサービスなのでこのまま終了しても痛手はそこまでない。しかし、httqsプロジェクトとしては投稿が増えていたサービスなので、継続して運営していきたいというのが本音である。

追記。問い合わせ中

問い合わせた結果、無事復旧した。なぜ他のSSLが上書きされていたのかは教えてもらえなかったが直ったのでひとまずよしとする。困ったときは管理者に相談するのが早いようだ。

まとめ

投稿型のサービスを量産するのはリスクがあるように思う。
SNS型を真面目にやる場合は片手間でやると事故る可能性が高い気がするので、(今回の件を別にしても)本当にやりたいと思うサービスでなければ投稿型のサービスはやらないほうがいいだろうと思った。

 リンク