トルコの認証局が中間CA証明書を誤発行、ブラウザーベンダー各社が対応

　Googleは3日、「*.google.com」ドメインを対象とした不正なデジタル証明書を12月24日に発見し、ブロックしたことを公表した。こうした不正な証明書は、サイトのなりすましやフィッシング攻撃、中間者攻撃などに悪用される危険性がある。

　発見された証明書は、トルコの認証局（CA）であるTURKTRUST傘下の中間認証局が発行していた。GoogleがTURKTRUSTに問い合わせたところ、TURKTRUSTでは2011年8月に2つの組織に対してSSL証明書を発行すべきところ、誤って中間CA証明書を発行しており、これにより「*.google.com」向けの偽の証明書が発行されたという。

　Googleでは、Google Chromeで偽の証明書を無効にする措置を実施するとともに、他のブラウザーベンダーにもこの問題を通知した。

　マイクロソフトでは、この問題に対処するため証明書信頼リスト（CTL）を更新し、更新プログラムの提供を開始した。Windows 8/RTおよびWindows Server 2012では、CTLを自動更新する仕組みが導入されているため、ユーザー側で対処する必要はない。また、Windows 7/VistaおよびWindows Server 2008 R2/2008向けにも、CTLの自動更新を行う更新プログラムを2012年7月に提供しているため、この更新プログラムを適用している場合にはユーザー側で対処する必要はない。

　Mozillaでは、1月8日に実施するFirefoxのアップデートでこの問題に対処し、誤って発行された2つの証明書を無効にするとともに、TURKTRUSTのルート証明書の組み込みも一時停止するとしている。