MozillaがDigiNotarのCA認定を取り消し、政府関連証明書も失効
不正なSSL証明書発行事件に絡み、Firefoxブラウザを提供するMozillaはオランダのSSL認証局DigiNotarに対する認定を恒久的に取り消すと発表した。
オランダのSSL認証局(CA)DigiNotarから不正なSSL証明書が発行されていた問題で、Firefoxブラウザ提供元であるMozilla Foundationは、DigiNotarに対する信頼が失墜したと判断し、同社のCA認定を恒久的に取り消すと表明した。慎重に検討した結果、最後の手段として決めた方針だとしている。
Mozillaは9月2日のセキュリティブログで、不正に発行されたSSL証明書の中には「addons.mozilla.org」のドメイン用のものもあったことを明らかにした。それにもかかわらず、DigiNotarが6週間も前に問題に気付いて不正な証明書を失効させておきながら、Mozillaに何の連絡もなかったことは特に問題だとした。
MozillaはGoogleから連絡を受けて事態を知り、DigiNotarもその後、20以上のドメインに対して200件以上の不正な証明書が発行されていたことを認めたという。しかし事件の全容は依然としてつかめていないとMozillaは指摘する。
不正なSSL証明書が発行される事件は3月にも発生したが、この時は認証局のComodoからすぐにMozillaに連絡があり、両者が連携して対策に当たったという。これに対してDigiNotarのケースでは十分な対応がなされたという確信が持てず、同社からの連絡も不十分なため、今後同様な問題が起きた場合のユーザーの保護に大きな不安が残ると判断した。
Mozillaによれば、DigiNotarはオランダ政府の認証局の運営にもかかわっており、Mozillaは当初、政府関連の証明書は今回の問題の影響を受けないという同国政府の判断に基づき、これら証明書は失効の対象外としていた。しかしオランダ政府はDigiNotarの実態を調査した結果、当初の判断を撤回。これを受けてMozillaもFirefoxやThunderbirdなどの製品で、政府関連も含めたDigiNotar絡みの証明書を全て失効させる方針を決めた。
今回の事件を振り返ってMozillaは「SSLシステムの完全性は秘密主義の中では保てない」とDigiNotarを批判。「認証局とソフトウェアベンダーとの間で積極的かつ迅速で包括的なコミュニケーションを取る必要があることが裏付けられた」と指摘している。
関連記事
- 不正SSL証明書発行の認証局、Webサイトも改ざんされていた
不正侵入を受けて不正なSSL証明書を発行していた認証局のDigiNotarのサイトから、何年も前に改ざんされていたとみられるWebページが見つかったという。 - Google ChromeとFirefoxの更新版が公開に、不正SSL証明書の問題に対処
Google ChromeとFirefoxの更新版では、オランダの認証局DigiNotarが発行したSSL証明書が無効化された。 - 認証局が不正なSSL証明書を発行、Googleユーザーを狙う攻撃が発生
大手SSL認証局からGoogleなどのWebサイト用の不正なSSL証明書が発行された。Googleによると、これを使って同社のサービスとユーザーとの通信に割り込もうとする攻撃が発生しているという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.