SSL/TLS証明書再販Trustico、メールで顧客の秘密鍵送り強制的に失効させる
2018年3月6日 16:45
昨年、SymantecがSSL/TLS証明書関連事業をDigiCertに売却することが報じられた。これに関連して、英国のSSL/TLS証明書再販業者・TrusticoがDigiCertに対し、Trusticoが販売したSymantecの証明書が「汚染」されていると主張、無効にするよう求めたそうだ。DigiCertがその証拠を求めたところ、Trusticoは証明書の秘密鍵を暗号されていないメールで送りつけるという暴挙に出たという(mozilla.dev.security.policyグループへの投稿、register、Boing Boing、GIGAZINE)。
本来販売された証明書の秘密鍵はその所有者(購入者)のみが保有しているはずで、なぜTrusticoが秘密鍵を保有していたのかは不明。これに加えてメールで秘密鍵を送ることも、証明書を発行する認証局に対する要件を定めるBassline Requirements(BR)に違反している。そのためメールで送りつけられた秘密鍵に関連する23000件の証明書が無効化される事態になったという。
TrusticoはかつてSymantecの証明書を扱っていたがDigiCertとは取引しておらず、SymantecがDigiCertに事業を譲渡した後はComodoの証明書の再販を行っている。また、ChromeやFirefoxでは今年後半にSymantecブランドの証明書が無効化される予定。そのため、Symantec系の証明書を現時点で無効化させることで顧客を強制的にComodoの証明書に移行させることをもくろんでいるのではないかとみられている(registerの続報)。