WoSignの無料証明書はやめた方がいい

Let’s Encryptがサービスを本格的に開始し、無料SSL証明書が手軽に手に入れられるようになったわけですが。

Let’s Encryptが始まる前、有名どころと言えばStarSSLがありましたが、2015年後半頃からWoSignがネットで話題になりました。

”100ドメインまでのマルチドメインに対応したSSL証明書が3年間無料”

そんな感じで盛り上がっていました。

今年の初め、ブログを本格的にSSL化しようと考えた際に「WoSign」の事を思い出し調べました。

しかし、使用するのはやめました。

理由は、提供しているのが中国企業だったからです。

セキュリティ関連に中国企業を絡めるのは正直気が引けます。

で、それから半年ほどたったわけですが・・・

WoSignがニセの証明書を発行していたとのニュースがでました。
⇒ 中国最大級の認証局「WoSign」がニセの証明書を発行していたことが判明

どうやらSSL証明書を発行するシステムに、管理権限のないドメインに対してのSSL証明書を発行できてしまうバグがあるそうな。

これに気づいた人(Schrauger氏)がWoSignに対して報告をしたそうですが、1年以上経過した今もバグは修正されていないそうです。

つまり、偽物の証明書を発行できる状態で放置されているわけですね・・・

これに関してfirefoxを開発しているMozillaでは、ブラウザ側でWoSignの証明書を無効にするかどうかについて話し合いが行われているそうです。

もしかするとそのうちGoogleも無効化すると言い出すかもしれませんね。

今無料のSSL証明書を検討している人はWoSignだけはやめた方がいいと思いますよ。


コメントを残す