VeriSign、「Black Hat」発表のSSLの脅威について安全を確認

　米VeriSignは、米国で開催されたセキュリティカンファレンス「Black Hat USA 2009」で発表されたSSLに関する潜在的な脅威について、VeriSingが提供するSSLやEV SSL証明書などすべての証明書発行サービスでは既に対応を完了していると発表した。

　Black Hat USA 2009では7月29日に、SSLに対する新たな潜在的脅威として「Null文字の埋め込み」「MD2衝突」に関する発表が行われた。

　VeriSignでは、「Null文字の埋め込み」については、VeriSignが発行するすべてのSSLサーバー証明書について、ドメイン名を表す「Common Name（CN）にはNull文字を含んでいないことを確認。また、Null文字を含む証明書の発行要求にも応じていないため、VeriSignの証明書をこの種の攻撃に利用することは事実上不可能だとしている。

　「MD2衝突」については、今後数カ月のうちにMD2を使用した証明書が原像攻撃（Pre-Image Attack）の対象となる可能性があるという発表が行われている。これについても、VeriSignでは2009年5月に認証局証明書のハッシュアルゴリズムをMD2からSHA-1に移行しているため、対応済みとなっている。