MozillaとMS、信頼される中間認証局からDigicert Malaysiaを削除へ


 マレーシアで営業しているSSL認証局のDigicert Sdn. Bhd(Digicert Malaysia)について、信頼される中間認証局から削除することを、MozillaとMicrosoftが3日、それぞれ発表した。MozillaではFirefox 8/3.6.24において、MicrosoftではWindows Updateを通じて実施する予定。

 なお、Digicert Malaysiaは、EntrustとVerizon(GTE CyberTrust)傘下の認証局で、米DigiCert Inc.とは関係がないという。

 Digicert Malaysiaが、低強度の512ビットRSAキーで証明書を22件発行していたことが判明したのを受けての措置。マレーシア政府のサイトや内部システムに対して発行されていたものだという。今のところ不正に使われた兆候はないが、悪意のあるサイトやソフトウェアを正規サイトや署名済みソフトウェアに見せかけるのに悪用される可能性があるとしている。

 このほか、Digicert Malaysiaが発行した証明書には、用途を指定するEKU拡張や失効情報も含まれていないという技術的な問題もあったという。

 Entrustによると、Digicert Malaysiaはすでに22件の証明書を失効済み。また、Entrustでは11月8日までに、Digicert Malaysiaに対する中間認証局としての認証を取り消す予定だとしている。


関連情報


(永沢 茂)

2011/11/4 19:28