〜 卓越した品質へ 〜

中国最大級のGlobal Public CAであるWoSignがニセの証明書を発行可能であることが判明してちょっとした騒ぎになっています。私は知らなかったのですが,WoSignは無料でSSL証明書を発行してくれるサービスをやっていたそうで,自分でWebサーバを立てている人たちに重宝されているそうです。

何が問題なのかというと,サーバのサブドメインの権利を持っている人が上位ドメインの証明書を発行できてしまうことです。例えば,
http://trusted-design.com/
というサイトがあったとして,ここの下位ドメインを別の人に貸していたとします。それが,
http://sub-domain.trusted-design.com/
とすると,この下位ドメインの所有者が上位ドメインの証明書を発行できてしまうのです。

Ginazineに実際に発行できてしまった例が出ていました。

ソフトウェア開発のための共有ウェブサービスであるGithubはユーザ名で下位ドメインをもらうことができます。この下位ドメインの権利を持っていれば,Githubのルートの証明書を発行できてしまうのです。例えば,Githubから
trusted-design.github.com
のドメイン名をもらったとすると,通常ならば上位ドメインである
github.com
の証明書は発行できません。ところがWoSignでは発行可能だったということです。

これは大変です。Githubからアカウントを発行してもらったら,Githubを名乗る証明書を発行できてしまうのですから。

この手の問題が発生すると,WoSignの証明書を失効して利用できなくしてしまうことが常套手段です。ところが,WoSignのサイトに行ってみても,2006年発行のCA証明書がまだ有効のようです。現在,どのような対処をするか話し合われているようですが,影響範囲が大きいから困っているようです。

でも,やっぱりNGなCAは使えなくしてしまうしかないと思うんですけどねぇ。

コメントを残す

メールアドレスが公開されることはありません。

This site uses Akismet to reduce spam. Learn how your comment data is processed.