投稿者 問題
Mozilla 製品のルート証明書に含まれている認証局の Entrust 社から、傘下の認証局のひとつであるマレーシアの DigiCert Sdn. Bhd. 社が低強度の鍵で 22 の証明書を発行していたことが報告されました。それらが不正に発行された兆候はありませんが、低強度の鍵により、証明書がセキュリティ侵害を受ける恐れがあります。また、この認証局から発行された証明書にはいくつかの技術的な問題が見受けられました。用途を指定する EKU 拡張が欠落しており、失効情報も含まれていません。
これは Firefox 固有の問題ではありませんが、Mozilla では、この認証局の技術慣行に関する懸念を考慮し、DigiCert Sdn. Bhd. 社の中間認証局への信頼を取り消すことにしました。
DigiCert Sdn. Bhd. 社は、マレーシアで営業している、Entrust 社と Verizon (GTE CyberTrust) 社傘下の認証局です。米国に拠点を置き、同じく Mozilla 製品のルート証明書に含まれている DigiCert 社とは一切関連がありません。
ユーザへの影響
攻撃者がこれらの低強度の鍵のいずれかを用いて正規の所有者になりすます可能性があります。これにより、ユーザをだまして、悪質なコンテンツやソフトウェアを、正規の所有者が提供する Web サイトや署名済みソフトウェアであるかのように信頼させることが可能となります。問題の証明書は、様々なマレーシア政府のサイトや内部システムに対して発行されています。他のサイトが影響を受ける可能性はないと思われます。
状況
Mozilla は DigiCert Sdn. Bhd. 社によって発行されたすべての証明書の信頼を取り消します。この変更は Firefox 8 と Firefox 3.6.24 で行います。Entrust 社は この問題に関する声明 を発表しています。
クレジット
この問題は Entrust 社から Mozilla へ報告されました。
[これは米国 Mozilla のブログ記事 Revoking Trust in DigiCert Sdn. Bhd Intermediate Certificate Authority の抄訳です]