中国大手SSL認証局で不正に証明書を取得できてしまう問題が明らかに

insiderman 曰く、　無料でマルチドメイン対応のSSL証明書を発行してくれるとして一部で話題になっていた中国の認証局「WoSign」で、サブドメインに紐付けられているサーバーの管理権限があれば、そのメインのドメインに対するSSL証明書も取得できてしまうという問題が明らかになっている。たとえばgithub.ioでは、利用者に対し＜プロジェクト名/ユーザー名＞.github.ioや＜プロジェクト名/ユーザー名＞.github.comというドメインを提供しているが、これを悪用することでgithub.ioやgithub.comに対するSSL証明書も取得できてしまうことになる（GIGAZINE、Schrauger.com、Chinese CA WoSign faces revocation after possibly issuing fake certificates of Github, Microsoft and Alibaba）。

　さらにこの問題が明らかになった後も、WoSign側は問題のある証明書に対して適切な対処を行わなかったとして批判されているようだ。これを受けてMozilla開発者らの間でWoSignが発行した証明書の扱いをどうするかが議論されているが、WoSignは中国でも大手の認証局と言うことで、対応に苦慮している模様。

　スラドのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
メールアドレスのみの確認でSSL証明書を発行している認証局における問題 2015年04月02日
機内ネットサービスを提供するGogo、GoogleのSSL証明書を偽造して帯域制御していたことが明らかに 2015年01月13日
トルコの認証局、手違いで中間CA証明書を発行。早速攻撃に使われる 2013年01月09日
オランダの認証局で不正侵入が発覚、不正なSSL証明書が発行される 2011年09月01日