ITmedia NEWS > セキュリティ >
ニュース
2017年08月10日 08時00分 UPDATE

不正が発覚した中国の認証局、Microsoftも無効化を通告

中国の認証局WoSignとStartComの証明書については米Mozilla、Google、Appleも無効化を通告しており、これで全主要ブラウザで両社の証明書が通用しなくなる。

[鈴木聖子,ITmedia]

 米Microsoftは8月8日、中国の認証局(CA)、WoSignとStartComが発行した証明書を段階的に無効化すると発表した。両社については米Mozilla、Google、Appleも無効化を通告しており、これで全主要ブラウザにおいてWoSignとStartComの証明書が通用しなくなる。

レッドカード Windows 10でWoSignとStartComが発行した証明書を段階的に無効化する

 Microsoftによると、WoSignとStartComについてはSHA-1証明書の日付のごまかし、証明書の不正な発行、不手際による証明書の失効、証明証通し番号の重複、CAB Forumの規定違反など、「容認できないセキュリティ慣行」が相次いで発覚。このため、Microsoftのルート証明書プログラム参加に求められる基準を満たしていないと判断した。

 この判断に基づき、WoSignとStartComの証明書は発効日を示す「NotBefore」の日付を2017年9月26日に設定することによって自然消滅させる。これで発行済みの証明書はそれぞれの有効期限まで通用させる一方、両社が2017年9月以降に新規に発行した証明書についてはWindows 10で有効な証明書として扱われなくなる。

Microsoft Malware Protection Center blog 無効化の理由を説明するMicrosoft Malware Protection Center blog

 WoSignとStartComは、無料の証明書発行を宣伝している中国のCA。2016年9月から10月にかけてApple、Mozilla、Googleが多くの問題を指摘して、それぞれのWebブラウザで両社の証明書を失効させると表明していた。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.