[upki-fed:00945] Re: メタデータ取得時のサーバ証明書検証に関する問題について

[Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>]

NII西村です。

学認参加のSPについてはメタデータ自体の署名検証が行われるため対処は
不要と案内しているところですが、一点補足させてください。

メタデータURLがSHA-2証明書で提供されている場合、一部の古いOS（例えば
CentOS 5）ではトラストアンカー(ca-bundle.crt)の不備のためメタデータ
取得でエラーが発生する可能性があります。

エラーになる場合は、また現在エラーにならなくてもリポジトリのSHA-2移
行でエラーになることを避けるために、以下のページを参考に必要なルート
CA証明書の追加を行ってください。
詳細: https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=19431537
# 上記ページはセコムのルートCA証明書の追加手順となっていますので、
# 他の認証局の証明書を使っている場合は読み替えてください。

PS
冒頭で学認のSPは対処不要と書きましたが、現在の学認技術ガイドは
多層防御の観点からサーバ証明書検証を有効にする手順となっており、
さらに上記リンクを提示しトラストアンカーを確認してもらう手順となって
おります。

On 2015/06/25 11:18, 国立情報学研究所　学認事務局　野田 wrote:
> 学認情報交換ML　参加者各位
> 
> 　国立情報学研究所　学認事務局の野田です。
> 平素より学認の運営にご協力を賜り，ありがとうございます。
> 
>   学認で提供している技術ガイドではフェデレーションメタデータを自動取得す
> る設定をご案内しておりますが，ダウンロード先のURLにHTTPSサイトを指定し
> ても，Shibboleth SPでは接続先のサーバ証明書の検証が行われないことが確
> 認されました。(*)
> 各管理者におかれましては，影響をご確認の上，適切な対処を行っていただき
> ますようお願いいたします。
> # 本アナウンスは，2015年4月8日付で学認参加IdP / SP管理者に送信したものと
> 同一です。
> # IdPと個別に連携しているSPも影響を受ける可能性がありますので，
> # ご確認の程，宜しくお願い申し上げます。」
> 
> 
> 1. 影響を受ける範囲
> 
> 次の例に示すように署名検証を行わず追加のIdPメタデータを読み込んでいる場
> 合，当該SPは中間者攻撃を受け悪意あるIdPから接続される危険性があります。
> なお，学認の運用フェデレーション・テストフェデレーションのものを読み込ん
> でいる部分については，技術ガイドに従っていればダウンロード後のメタデータ
> に対してメタデータ自体に施された署名検証が行われるため影響を受けません。
> 
> 
> ■ /etc/shibboleth/shibboleth2.xmlでリモートのメタデータを取得する際に
>     HTTPSの通信のみを信用している場合（メタデータの署名検証を行っていな
>     い場合）
> 
>    （証明書検証が行われない設定の例）
>    <MetadataProvider type="XML" uri="https://example.com/metadata.xml"
>      backingFilePath="backing-metadata.xml" reloadInterval="7200">
>    </MetadataProvider>
> 
> 
> 想定されるケースとしては，次のように学認以外のメタデータを読み込んでい
> る場合で，かつメタデータへの署名およびSP側でメタデータの検証を行ってい
> ない場合が考えられます。
> 
>   ・学内でローカルのフェデレーションを構築している場合
>   ・SPに直接読み込ませるためにIdP側でメタデータを公開している場合
> 
> 
> 2. 対処方法
> 
> 次に示す例のようにMetadataProviderにTransportOptionを3行追加し，
> HTTPSサイトの証明書検証を有効にしてください。
> 
>    （証明書検証を行う設定の例）
>    <MetadataProvider type="XML" uri="https://example.com/metadata.xml"
>      backingFilePath="backing-metadata.xml" reloadInterval="7200">
> 
>      <TransportOption provider="CURL" option="64">1</TransportOption>
>      <TransportOption provider="CURL" option="81">2</TransportOption>
>      <TransportOption provider="CURL"
> option="10065">/etc/pki/tls/certs/ca-bundle.crt</TransportOption>
>    </MetadataProvider>
> 
>    ※ 3行目のca-bundle.crtはCentOS 5/6の場合のパスとなります。OSやディス
>       トリビューションごとに異なる場合がありますので適宜修正してください。
> 
> 他の対処方法としては，リモートから直接取得せず，安全な方法（wgetコマン
> ドやブラウザ等のサーバ証明書検証機能を利用してダウンロードする等）でメタ
> データを取得してローカルに配置しそれを読み込むよう修正することが考えられ
> ます。
> 
> 
> (*) - この挙動は下記ページに明記されている公知のものであり，Shibboleth
> SPの仕様とされています。
> https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPReloadableXMLFile

-- 
西村健
国立情報学研究所 TEL:03-4212-2890