不正が発覚した中国の認証局、Microsoftも無効化を通告

中国の認証局WoSignとStartComの証明書については米Mozilla、Google、Appleも無効化を通告しており、これで全主要ブラウザで両社の証明書が通用しなくなる。

» 2017年08月10日 08時00分 公開
[鈴木聖子ITmedia]

 米Microsoftは8月8日、中国の認証局(CA)、WoSignとStartComが発行した証明書を段階的に無効化すると発表した。両社については米Mozilla、Google、Appleも無効化を通告しており、これで全主要ブラウザにおいてWoSignとStartComの証明書が通用しなくなる。

レッドカード Windows 10でWoSignとStartComが発行した証明書を段階的に無効化する

 Microsoftによると、WoSignとStartComについてはSHA-1証明書の日付のごまかし、証明書の不正な発行、不手際による証明書の失効、証明証通し番号の重複、CAB Forumの規定違反など、「容認できないセキュリティ慣行」が相次いで発覚。このため、Microsoftのルート証明書プログラム参加に求められる基準を満たしていないと判断した。

 両社が2017年9月26日以降に新規に発行した証明書についてはWindows 10で有効な証明書として扱われなくなる。

Microsoft Malware Protection Center blog 無効化の理由を説明するMicrosoft Malware Protection Center blog

 WoSignとStartComは、無料の証明書発行を宣伝している中国のCA。2016年9月から10月にかけてApple、Mozilla、Googleが多くの問題を指摘して、それぞれのWebブラウザで両社の証明書を失効させると表明していた。

【訂正:2018年7月13日午後7時】初出時、「無効とする証明書」に関する表記が曖昧かつ誤解を招く表現となっていたため、上記のように修正いたしました。お詫びして訂正いたします。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ