中国の認証局(CA)「WoSign」がSSL証明書の日付を偽装

去年中国の認証局(CA)「WoSign」のシステムに問題があることが発覚したわけですが。
⇒ WoSign の無料証明書はやめた方がいい

今度は SSL 証明書の日付を意図的に偽装していたことが発覚しました。

SSL 証明書を発行する際に使用されるハッシュアルゴリズム「SHA-1」に問題がある事がわかったため、各ブラウザベンダーは今年(2017 年)の1月1日までにサポートを無効にする対策を行っていたのですが、WoSign はそれを回避するため意図的に日付を 2015 年 12 月 31 日より前にする偽装を行っていたそうです。

また、イスラエルの「StartCom」という認証局を管理機関に黙って買収し、2015 年 11 月に所有権が変更されていたにも関わらず公表していなかったとして去年9月頃にも問題になっており、すでに Google、Mozilla、Apple が不正な証明書としてブロックすること表明しています。(Microsoft は未定)

無料で人気のある「StartSSL」は StartCom が発行しており、ブロック対象には「StartCom」も含まれるため今後 StartSSL は使用できなくなります。

こうなると無料の SSL 証明書は Let’s encrypt 一択になりますね。

Let’s encrypt は Google や Mozilla がサポーターについているため、こういった不祥事は無いかと思いますが・・・


コメントを残す