Firefox web browser - Faster, more secure & customizable

MozillaはFirefoxを含むMozillaの提供するすべてのソフトウェアにおいて、DigiNotarを信頼できる認証局から外したことを発表した。これは一時的な処置ではないという。注意深く検討した結果、この最終手段を取らざるを得なかったと説明がある。

Mozillaはこれまで誤って証明書を発行した認証局と同様の問題を解決したことがあるという。しかし、今回のDigiNotarが不正に証明書を発行してしまった問題に対しては、次の理由から「すべて失効化」という手段を取らざるを得なかったことが説明されている。

  • DigiNotarは6週間前には問題を検出し失効化処理を実施しているが、その間Mozillaへの報告はなかった。不正に発行された証明書はaddons.mozilla.orgドメインに対するものも含まれていたたため大きな問題といえる。またこれは、ほかの認証局が即座に連絡を取ってくるのと比べて対称的な振る舞いといえる。
  • 20を超えるドメインに対して200以上の不正証明書が発行されたと説明があったが、どれほどの不正証明書が発行されたのかが不透明なままになっている。
  • すでに発行されてしまった不正証明書が使われていることを報告として受けている。

GoogleもChromeに対して類似した措置を取ったことを発表しており、最新の安定版に対応が含められているという。Mozillaの発表にもGoogleの発表にも、「ほかのブラウザベンダ/メーカ」という言葉が複数形で含められており、MozillaやGoogle以外も同様の取り組みを進めていることを伝えている。

Opera Softwareは認証局によって失効化された証明書、または失効確認のURLにアクセスできない証明書が使われている場合にはセキュリティレベルが下がるため、特別に今回のケースに対応する必要はないといった報告をしているが、これは認証局が不正に発行された証明書をすべて把握していない場合には、効果の薄い対応となってしまう。ほかのブラウザベンダがどういった対応を進めるかが注目される。