ニュース
不正が発覚した中国の認証局、Microsoftも無効化を通告
中国の認証局WoSignとStartComの証明書については米Mozilla、Google、Appleも無効化を通告しており、これで全主要ブラウザで両社の証明書が通用しなくなる。
米Microsoftは8月8日、中国の認証局(CA)、WoSignとStartComが発行した証明書を段階的に無効化すると発表した。両社については米Mozilla、Google、Appleも無効化を通告しており、これで全主要ブラウザにおいてWoSignとStartComの証明書が通用しなくなる。
Microsoftによると、WoSignとStartComについてはSHA-1証明書の日付のごまかし、証明書の不正な発行、不手際による証明書の失効、証明証通し番号の重複、CAB Forumの規定違反など、「容認できないセキュリティ慣行」が相次いで発覚。このため、Microsoftのルート証明書プログラム参加に求められる基準を満たしていないと判断した。
両社が2017年9月26日以降に新規に発行した証明書についてはWindows 10で有効な証明書として扱われなくなる。
WoSignとStartComは、無料の証明書発行を宣伝している中国のCA。2016年9月から10月にかけてApple、Mozilla、Googleが多くの問題を指摘して、それぞれのWebブラウザで両社の証明書を失効させると表明していた。
【訂正:2018年7月13日午後7時】初出時、「無効とする証明書」に関する表記が曖昧かつ誤解を招く表現となっていたため、上記のように修正いたしました。お詫びして訂正いたします。
関連記事
- 中国の認証局が不正な証明書、主要ブラウザが無効化を通告
GoogleやFirefoxによると、WoSignは不正な証明書を発行していたことが判明。別の認証局のStartComを買収していたことも隠して「ブラウザコミュニティをあざむこうと画策した」とされる。 - Google Chromeチーム、Symantec証明書の段階的失効を提案
大手認証局(CA)を傘下に持つSymantecが証明書発行の不手際を繰り返しているとして、GoogleはChromeブラウザでSymantecが発行した証明書の有効期間を短縮するなどの措置を提案した。 - Google、ルート証明書発行の独自インフラを構築
米GoogleはGlobalSign R2とR4の2つのルート認証局を取得し、認証局を運営する「Google Trust Services」を開設した。 - SHA-1証明書、MicrosoftのEdgeとIE 11でも無効に
- GoogleとMozilla、中国認証局の新規証明書を一時的に失効
中国の認証局CNNICが新たに発行する証明書は当面の間、ChromeとFirefoxで信頼できない証明書として扱われる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.