中国最大の認証局「WoSign」が証明書発行日改竄などを行っていたとしてFirefoxがブロックの方針

by Eljay

中国最大級の認証局「沃通(WoSign)」がニセ証明書を発行していた問題で、ウェブブラウザの1つ・FirefoxがWoSignの証明書をブロックする方針を固めました。

WoSign and StartCom - Google Docs
https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/

Firefox ready to block certificate authority that threatened Web security | Ars Technica
http://arstechnica.com/security/2016/09/firefox-ready-to-block-certificate-authority-that-threatened-web-security/

Mozilla wants woeful WoSign certs off the list • The Register
http://www.theregister.co.uk/2016/09/27/mozilla_wants_woeful_wosign_certs_off_the_list/

指摘によると、WoSignを巡っては、あるドメインのサブドメイン管理権しかない状態でも、ベースドメインの証明書を発行してもらえる状態になっていたという問題が明らかになっています。

また、WoSignと同じく無料で証明書を発行してくれるCA(認証局)として知られる、イスラエルのStartComというCAを黙って買収し、所有権の変更を明かさなかったことも問題視されています。StartComはWoSignとは独立して残るというニュースリリースが発表されているのですが、Mozillaの調査によって、StartComがWoSignのインフラを使用している状態にあることがわかっています。

Welcome to StartCom
https://www.startcom.org/

さらに、Mozillaが2016年以降発行すべきではないという指針を出していたSHA-1を利用した証明書を、直近9カ月にわたって、日付を偽装して発行するという改竄を行っていました。これはCAブラウザーフォーラムの基本要件に違反するもので、WoSignは否定していますが、オーストラリアの「Tyro.com」というサイトにおいてWoSign/StartComによる、発行日を改竄した証明書が見つかっています。なお、同様に発行時期を改竄した証明書が62件見つかっているとのことです。