中国最大級の認証局が証明書発行日改竄などをしていたとしてFirefoxがブロックの方針 1
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
無料でSSL証明書を発行しているため自宅サーバーユーザーには重宝されていた中国最大級の認証局「沃通(WoSign)」。しかし、「偽物の証明書」を大量に発行していたことが判明。この問題を受けウェブブラウザであるFirefoxは、WoSignの証明書をブロックする方針を固めたそうだ。なおWoSignに関する容疑というか問題は偽証明書だけではない。
ドメインのサブドメイン管理権しかない状態でも、ベースドメインの証明書を発行してもらえる状態になっていたり、イスラエルのStartComというCAを黙って買収し、変更を明かさなかった。さらにはMozillaが2016年以降発行すべきではないという指針を出していたSHA-1を利用した証明書を、直近9カ月にわたって、日付を偽装して発行するという改竄を行っていたとされる。同様に発行時期を改竄した証明書が62件見つかっているとのこと(GIGAZINE)。
月初掲載のストーリーの続編ですね。 (スコア:1)
中国大手SSL認証局で不正に証明書を取得できる不具合、対応が審議される [srad.jp]
タレコミ by insiderman 2016年09月01日 06:20午後
中国大手SSL認証局で不正に証明書を取得できてしまう問題が明らかに [security.srad.jp]
ストーリー by hylom 2016年09月02日 07:50午後ミスが発端であるものの 部門より