中国の認証局が不正な証明書、主要ブラウザが無効化を通告

[鈴木聖子，ITmedia]

　中国の認証局WoSignと傘下のStartComが不正な証明書を発行していたことが分かったとして、米MozillaやGoogle、AppleがそれぞれのWebブラウザで両社の証明書を信頼できない証明書として扱うと表明した。

　Googleは10月31日のブログで、Chrome 56（2017年1月にリリース予定）以降のバージョンではWoSignとStartComが10月21日以降に発行した証明書を信頼できる証明書として扱わないと表明した。

10月21日以降に発行した証明書を信頼できる証明書として扱わないとするGoogleのブログ

　それより前に発効された証明書については当面の間、条件付きで信頼するが、そうした例外は両社の証明書を使っているWebサイトに対して信頼できる別の認証局への移行を促すための措置だとした。

　MozillaのFirefoxでもWoSignとStartComが10月21日以降に発行した証明書について、Firefox 51（現在aurora版、安定版は2017年1月24日リリース予定）以降のバージョンで無効とする。

　Mozillaは10月24日のブログで、WoSignには技術的、管理的問題が多数あると指摘していた。Mozillaなどは認証局に対して2016年1月1日までにSHA-1を使ったSSL証明書の発行を中止するよう求めていたが、WoSignはこの措置を免れる目的で、証明書に実際よりも前の日付を入れていたことが分かったという。

　Googleも8月にGitHubのセキュリティチームから、WoSignがGitHubのドメインの1つについて許可なく証明書を発行したと通報を受け、Mozillaなどと協力して調べたところ、WoSignが不正な証明書を発行していたケースがほかにも多数見つかったとしている。

　さらに、WoSignは別の認証局のStartComを買収していたにもかかわらず、その事実を公表しなかったとMozillaは指摘した。Googleもこの買収について「WoSignとStartComは証拠を突き付けられると、買収および両社の関係についてブラウザコミュニティをあざむこうと画策した」と批判している。

　こうした経緯からMozillaとGoogleは、両社が認証局に要求される高い水準を満たしておらず、ポリシーに違反していると判断した。

　これに先立ちAppleも9月30日、WoSignの証明書発行プロセスに複数の問題が多数あったとして、Safariなどの製品でWoSignの関係する証明書を失効させると通告していた。