SSL認証局のComodoが偽の証明書を発行
2011年03月23日,SSL認証局のComodo Groupは,Google,Yahoo!,Microsoftなど9つのサイトのSSL証明書が不正に取得されたと発表した.
- login.live.com
- mail.google.com
- www.google.com
- login.yahoo.com
- login.skype.com
- addons.mozilla.org
- Global Trusteeの各ドメイン
Comodoはこれらの証明書を失効させ,MicrosoftはWindowsアップデートを配信し,これらの証明書を信頼できない証明書として扱う処置を取った.MozillaもFirefoxのアップデートを配信し,これらの証明書をブロックする処置を行った.
2011年03月29日,Sophosによるとクラックした人物が名乗りでてきたという.この人物はイラン人を名乗っており,SSLのルート認証システムをハッキングする目的でRSAアルゴリズムを破ろうとしたが,この過程でComodoのパートナーである「GlobalTrust.it」と「InstantSSL.it」のハッキングに成功したという.InstantSSL.itのCSR(証明書署名リクエスト)に利用されているDLLにユーザ名とパスワードが平文で保存されており,これを利用して任意のCSRを提出して証明書を発行させることに成功したとのこと.
コメント
Mac OS X は2011年4月14日のセキュリティアップデートで対応.遅すぎる.
参考資料
Comodo hacker outs himself, claims “no relation to Iranian Cyber Army” – Naked Security
SSL認証局が偽の証明書を発行、大手サイトに影響の恐れ - ITmedia NEWS
不正SSL証明書の発行事件で「犯人」が手口公表 - ITmedia NEWS
SSL認証局がGoogleなどの偽証明書を発行、ブラウザーベンダーが対策を公開 -INTERNET Watch Watch
クラックされた認証局から偽のSSL証明書が発行される | スラド セキュリティ
不正な証明書発行の根本原因は「安易なパスワード運用」 − @IT