SSL認証局問題が再び発覚、MicrosoftとMozillaが対応表明

[鈴木聖子，ITmedia]

　米MicrosoftとFirefoxブラウザ開発元のMozillaは11月3日、マレーシアのSSL認証局が発行した証明書に問題があることが分かったとして、この認証局が発行する証明書を失効させると表明した。

　両社によると、問題が発覚したのは米Entrust傘下の認証局DigiCert Sdn. Bhdが発行した証明書。暗号強度が不十分な512ビットのRSA鍵を使用した証明書を22件発行していたほか、同社の発行した証明書には複数の技術的問題があることも判明したという。

　問題の証明書はマレーシア政府機関のWebサイト用に発行されたもので、現時点で不正に利用された痕跡はないとされる。しかし、攻撃者がこの証明書の問題を悪用すれば、ユーザーをだまして不正なWebサイトを正規サイトだと思わせることが可能になる。

　Microsoft、MozillaともEntrustからの連絡を受けて、DigiCert Sdn. Bhdを信頼できる認証局のリストから外し、同社が発行した証明書を全て無効にする方針を決めた。Mozillaは今後リリース予定のFirefox 8とFirefox 3.6.24にそのためのアップデートを盛り込む予定。MicrosoftはWindows Updateで更新プログラムを配信予定だとしている。

　なお、米国にもDigiCert Inc.という認証局が存在するが、マレーシアのDigiCertとは無関係だという。