9/03/2016

中国のルート認証局WoSignが偽の証明書を発行していた問題

中国最大の認証局WoSignが、GitHub、Microsoft、Alibabaなどの偽証明書を発行していた問題。ブラウザ側で認証局の取り消しに発展するかも。Percya.comより

中国最大のルート認証局の一つWoSignが脆弱性のために多くの偽の証明書を発行していた。WoSignの無料証明書サービスは、サブドメインの管理者と判明するとそのベースドメインの証明書を入手できる。これは、もし大手ウェブサイトのサブドメインをコントロールできるなら、例えばpercy.github.ioを持っていれば、WoSignからgithub.ioの証明書を獲得でき、ドメイン全体を支配できる。

実際に、スレッドに報告がある通り複数の事例が見られている。私は偽の証明書の可能性について関連当事者に通知した。

...(略)...

偽の証明書を獲得する脆弱性についてWoSignへの開示した後の14か月、WoSignは誤って発行された証明書に対処することは無かった。WoSignはセキュリティ欠陥の公表を理解しているように全く見えない。WoSignは「利用者からの報告を受けていくつかの証明書を取り消しますが、いくつかはまだ有効です。利用者は取り消して新しいものに置き換えなければならないと考えるなら、システムで我々に連絡して下さい。ありがとう。」と表明した。

Schrauger.comHacker News

追記

redditから

WoSignのCEO(とStartComのオーナーとみられる)は、Mozillaセキュリティメールグループに返信している。CAを運用する基本的な知識が全く欠けていることに吐き気を覚えるし、彼らはEVを発行するCAであるのに、バグだらけのコードが受け入れられる理由だと考えているようだ。彼らのシステムはもっと頑丈であるべきなのだ。

私はすでにFirefoxとOSの証明書を保存する場所から全てのWoSignとStartComの証明書を削除した。私は同じようにすることを他の人にも求める。

MacのキーチェーンにはWoSignの証明書は入っていないが、StartComが存在したので(WoSignの証明書はStartComがクロス署名している)、それらを全て「信頼しない」に変更した。

更新(2016.10.2)

Apple Root Certificate ProgramはWoSign/StartComに関連する証明書を信頼しないように変更している。

Hacker News