The primary goal of the TLS protocol is to provide privacy and data integrity between two communicating applications. |
EntrustとVerizonの傘下にあるマレーシアの中間認証局「DigiCert Sdn. Bhd.」が低強度の512ビットRSA鍵を発行していたことがEntrustより発表された。名称が似ているが、米国ベースのDigiCertとマレーシアのDigiCert Sdn. Bhd.は関係のない企業。発行されたいくつかの証明書はEKU拡張を含んでおらず、また、失効情報も含んでいないという技術上の問題も抱えているという。
こうした問題を受けてMozillaはプロダクトのルート証明書において、DigiCert Sdn. Bhd.が発行したすべての証明書を信頼しないようにすると発表。この変更はすでに公開された最新の「Firefox 8」に適用されているという。Microsoftも同様にこの問題を重視し、Windows Update経由でDigiCert Sdn. Hhd.の証明書を信頼しないように変更すると発表した。
Sophosのnakedsecurityに掲載された「Another certificate authority issues dangerous certficates」によると、DigiCert Sdn. Bhd.から発行された証明書のうち2つがマルウェアのサインに使われいたという。認証局が問題に気づいたため、この証明書に対しては警告を機能させることができたと説明がある。さらに他の認証局において同様の問題が確認されているという注釈もある。
認証局から発行される証明書に関しては、2011年8月末にDigiNotarから偽証明書が発行されていたことが明らかになりセキュリティ関係者の間で大きな注目を浴びることになった。今回のDigiCert Sdn. Bhd.は偽証明書ではないが、技術的に問題がありMozillaやMicrosoftはDigiNotarの時とよく似た対応を取っている。この問題は今後しばらく継続する可能性がある。信頼できる証明書であると表示された場合にも、念の為確認するようにした方が良いという指摘も出始めている。
