SSL/TLS証明書再販Trustico、メールで顧客の秘密鍵送り強制的に失効させる

　昨年、SymantecがSSL/TLS証明書関連事業をDigiCertに売却することが報じられた。これに関連して、英国のSSL/TLS証明書再販業者・TrusticoがDigiCertに対し、Trusticoが販売したSymantecの証明書が「汚染」されていると主張、無効にするよう求めたそうだ。DigiCertがその証拠を求めたところ、Trusticoは証明書の秘密鍵を暗号されていないメールで送りつけるという暴挙に出たという（mozilla.dev.security.policyグループへの投稿、register、Boing Boing、GIGAZINE）。

　本来販売された証明書の秘密鍵はその所有者（購入者）のみが保有しているはずで、なぜTrusticoが秘密鍵を保有していたのかは不明。これに加えてメールで秘密鍵を送ることも、証明書を発行する認証局に対する要件を定めるBassline Requirements（BR）に違反している。そのためメールで送りつけられた秘密鍵に関連する23000件の証明書が無効化される事態になったという。

　TrusticoはかつてSymantecの証明書を扱っていたがDigiCertとは取引しておらず、SymantecがDigiCertに事業を譲渡した後はComodoの証明書の再販を行っている。また、ChromeやFirefoxでは今年後半にSymantecブランドの証明書が無効化される予定。そのため、Symantec系の証明書を現時点で無効化させることで顧客を強制的にComodoの証明書に移行させることをもくろんでいるのではないかとみられている（registerの続報）。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | インターネット

　関連ストーリー：
Google Chromeの実験的ビルド「Canary」でSymantecの証明書が無効化される 2018年02月08日
Google、ChromeでのSymantecが発行した証明書の無効化スケジュールを発表 2017年09月16日
SymantecがSSL証明書関連事業を売却へ 2017年08月08日
Google ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化が提案される 2017年03月26日