証明書の不正発行や日付改ざんを行っていた認証局「WoSign」、Firefoxが同社による証明書をブロックへ
2016年10月5日 11:22
あるAnonymous Coward曰く、 先日、中国大手SSL認証局「WoSign」で不正に証明書を取得できてしまう問題が明らかになったが、これを受けてFirefoxが同社の発行した証明書をブロックする方針を固めたようだ(GIGAZINE、Threatpost)。
WoSignで明らかになった問題点として、あるドメインに対しそのサブドメインに対応付けられたサーバーの管理権限を持っていれば、そのルートドメインに対するSSL証明書を取得できるというものが挙げられていた、これ以外にもSSL証明書無料発行サービスを提供しているイスラエルのStartComを買収していたにも関わらずそれを公開していなかったり、「2016年以降発行すべきではない」とされていたSHA-1を使った証明書を日付を偽装して発行していたことなども判明しているという。
スラドのコメントを読む | セキュリティセクション | セキュリティ | インターネット
関連ストーリー: 中国大手SSL認証局で不正に証明書を取得できてしまう問題が明らかに 2016年09月02日 Let's Encryptの証明書、不正広告攻撃に悪用される 2016年01月11日 メールアドレスのみの確認でSSL証明書を発行している認証局における問題 2015年04月02日 トルコの認証局、手違いで中間CA証明書を発行。早速攻撃に使われる 2013年01月09日 Comodo CAがサーバ証明書を関係のない第三者に発行、大問題に 2008年12月26日