偽SSL証明書問題でMozillaが対応を説明、DigiNotarの証明書は恒久的に削除


 Mozillaは2日、オランダのSSL認証局DigiNotarが偽のSSL証明書を発行していたことを受け、FirefoxやThunderbirdなどMozillaのソフトからDigiNotarのルート証明書を削除した措置について、一時的なものではなく恒久的な措置であると発表した。

 Mozillaでは、DigiNotarはMozillaに通告することなく6週間前には不正な証明書を失効させており、その中には「addons.mozilla.org」のドメイン名に対して発行された証明書も含まれていた点が特に問題だと説明。「*.google.com」に対する不正な証明書の発行が発覚し、Googleからこの問題の報告を受けて以来、DigiNotarでは20以上のドメイン名に対して200以上の不正な証明書を発行したことを認めたが、依然として被害の範囲は不明なままで、これらの証明書が不正に使用されたという複数の報告も受けているという。

 Mozillaでは、年初にも同様にSSL認証局のComodoが偽の証明書を発行した問題があったが、その際にはComodoと協力して問題の証明書をすぐにブロックし、Mozillaにも速やかに報告があったと説明。DigiNotarの対応はこれとは対照的で、今後同様なことが起こった場合にはユーザーの保護に不安があるものだとしている。

 また、DigiNotarはオランダの政府認証基盤の証明書発行にも携わっており、オランダ政府では当初、政府の証明書についてはこの問題の影響を受けないため、証明書の削除措置からは外すことを求めていたが、その後DigiNotarを監査した結果、その判断を変えており、Mozillaや他のブラウザーベンダーもDigiNotarの証明書をすべて削除したという。

 Mozillaでは、SSLシステムの一貫性は秘密主義によっては維持できないとして、ユーザーの安全を保つためには、認証局とソフトベンダーの間ではアクティブかつ即座の包括的なコミュニケーションが必要であることを示しているとコメントしている。


関連情報


(三柳 英樹)

2011/9/5 13:02