GitHubのセキュリティ研究者が「mTLS認証」にまつわる誤った実装を警告：何に気を付けるべきなのか

セキュリティ研究者のマイケル・ステパンキン氏は、適切に実装されていない「mTLS認証」は認証情報が盗み出される可能性があると警告する記事をGitHubブログで公開した。

» 2023年09月06日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　GitHubでセキュリティ研究者のマイケル・ステパンキン氏は2023年8月17日（米国時間）、相互TLS認証（mTLS）の誤った実装によるセキュリティリスクを警告する記事をGitHubの公式ブログで公開した。

　TLS認証は、GmailやGitHubなどのWebサイトに接続する際、クライアントであるブラウザ側は、サーバから提供された証明書を確認し、本当に接続したいWebサイトであるかどうかを検証している。mTLS認証は、クライアントとサーバの両方が本当に正しいクライアント、サーバかどうかを相互で検証、認証する方式を指す。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

PayPal、可用性の高いキーバリューストア「JunoDB」をオープンソースで公開
PayPalは、可用性の高いキーバリューストア「JunoDB」を公開した。JunoDBの最優先事項はセキュリティで、TLSのサポートとペイロードの暗号化により、ワイヤ上と静止状態の両方でデータを保護する。
Azureへのサインインはもう不要！　Azure仮想マシンへの安全な接続を実現するAzure Bastionの「共有可能なリンク」が一般提供開始
Microsoftは「Azure Bastion」の「Standard」プランで、新機能「共有可能（な）リンク」の一般提供を開始しました。この機能を利用すると、Azure仮想マシンにパブリックIPを割り当て、ポートを許可せず、また、Azureサブスクリプションへのアクセス許可を全く与えずに、Azure仮想マシンへの安全な接続を提供できます。
IEモードはどうなる？　IE 11のTLS 1.0／1.1が「2022年9月下旬」から既定で無効化、その影響は？
Microsoftは数年前から同社のWebサイトやサービス、ブラウザなどについて、脆弱（ぜいじゃく）性問題のある「Transport Layer Security（TLS）1.0および1.1」の利用を廃止し、より安全なプロトコルであるTLS 1.2以降への移行を進めてきました。IE 11については当初2020年中に既定での無効化が予定されていましたが、延期を繰り返してきました。いよいよ、2022年9月20日以降に無効化が実施されます。