Digicert が不正なSSL証明書を発行

ウェブ

先日、使用中のSSL証明書に対してDigicertから連絡があり、不正な証明書であるため証明書を強制失効する旨の連絡がありました。

経緯

SSL証明書を使用する機会があり、当時シマンテックが正しい審査を行わず証明書を発行していたとしてGoogleがシマンテックが発行した証明書を全て、Chromeブラウザではエラーにする時期、証明書の選定に悩んでいたところ、シマンテックのSSL証明書の認証事業をDigicertが買収する話が話題になっていました。

以降、証明書はDigicertが審査発行する為、Chromeブラウザでもエラーは発生しない事を理由に、審査が極めて厳しいEV認証タイプの証明書を申込み審査をえて発行した証明書を使用していました。

証明書を適用しているサービスも問題なく安定して9ヶ月位経過したでしょうか・・・
Digicertから以下のメールが届きました。

メールの内容について

メールの内容を機械翻訳した結果が以下の内容です。

お客様各位、
問題の概要
私たちが実施した監査では、EV証明書ガイドラインCA /ブラウザフォーラムによって設定された業界標準に準拠していない組み込みアドレス情報の不正な裁判権を有する1つまたは複数のEV証明書を持っていることがわかりました。
この問題は何のセキュリティ上の脅威をもたらしていません。しかし、私たちは、11:00 PMのMT、我々は満たすことが要求されている失効タイムライン上のCA /ブラウザフォーラムのベースラインの要件に基づいて、期限のセットで9月10日に、あなたの影響を受けた証明書を失効しなければなりません。取り消された証明書に、サイトのダウンタイムを回避するには、再発行し、午後11:00 MTで9月10日の前に、あなたの証明書を再インストールする必要があります。
証明書はシリアル番号によって取り消されます。あなたが持っている任意の順番は、アクティブなままになり、あなたは新しい交換用の証明書を購入する必要はありません。
どの証明書が影響を受けていますか?
次の証明書11:00 PM MT(9月11日、午前5時GMT)で9月10日に取り消されます。

・・・以下、省略

建前と本音

SSLサーバ証明書は、CA/ブラウザフォーラムによって証明書の発行規定を定めます。

CA/Browser Forum(CAブラウザーフォーラム) とは

電子証明書を使った通信の安全性やその利便性を向上させるためのガイドラインを策定している会員制の任意団体です。 Webブラウザーの画面で、 アクセスしているWebサーバの運営組織の名前が表示されるEV SSLのガイドラインを作成したことでも*2知られています。 このガイドラインに則る形で発行されているのが、EV SSL証明書です。

フォーラムの会員には、COMODO社、DigiCert社、といった認証局事業者の他にApple社やGoogle社、Microsoft社、Mozilla社、 Opera Software社といったWebブラウザーを開発しているソフトウェアベンダーなど、 30以上の組織が入っています(2014年4月現在)。 ガイドラインの改訂などに関する議論は、毎月行われる会議やメーリングリストで行われます。 議決は会員による投票を通じて行われます。

メールの内容では、「貴方はCA/ブラウザフォーラムの規定に準拠していない証明書を使用している事が判明しました」と記されていますが、これはSSL証明書を使っている人が悪いのではなく、SSL証明書を発行した、Digicert側に非がある事です。

Digicert 自らの非について何も記されていないのが、認証局の大手だけに残念です。

Digicertは、その規定を無視してSSL証明書を発行したにも関わらず一方的に証明書を取り消すので、早急にSSL証明書の再発行手続きを行って下さいとの内容も追記されておりますが、このメールが送られてきたのは、強制失効日の2日前でした。

運が悪かっただけなのか、不正なSSL証明書はそう出回るものではありませんが、今後の証明書の選定に苦労しそうです。

コメント

タイトルとURLをコピーしました