SSL認証局のComodoが偽の証明書を発行

News DNS Security

2011年03月23日,SSL認証局のComodo Groupは,GoogleYahoo!Microsoftなど9つのサイトのSSL証明書が不正に取得されたと発表した.

偽の証明書が発行されたのは以下のドメインなど9ドメイン

Comodoはこれらの証明書を失効させ,MicrosoftWindowsアップデートを配信し,これらの証明書を信頼できない証明書として扱う処置を取った.MozillaFirefoxのアップデートを配信し,これらの証明書をブロックする処置を行った.

http://sophosnews.files.wordpress.com/2011/03/trustdllsource.png

2011年03月29日,Sophosによるとクラックした人物が名乗りでてきたという.この人物はイラン人を名乗っており,SSLのルート認証システムをハッキングする目的でRSAアルゴリズムを破ろうとしたが,この過程でComodoのパートナーである「GlobalTrust.it」と「InstantSSL.it」のハッキングに成功したという.InstantSSL.itのCSR(証明書署名リクエスト)に利用されているDLLにユーザ名とパスワードが平文で保存されており,これを利用して任意のCSRを提出して証明書を発行させることに成功したとのこと.

コメント

Mac OS X は2011年4月14日のセキュリティアップデートで対応.遅すぎる.

参考資料

Comodo hacker outs himself, claims “no relation to Iranian Cyber Army” – Naked Security
SSL認証局が偽の証明書を発行、大手サイトに影響の恐れ - ITmedia NEWS
不正SSL証明書の発行事件で「犯人」が手口公表 - ITmedia NEWS
SSL認証局がGoogleなどの偽証明書を発行、ブラウザーベンダーが対策を公開 -INTERNET Watch Watch
クラックされた認証局から偽のSSL証明書が発行される | スラド セキュリティ
不正な証明書発行の根本原因は「安易なパスワード運用」 − @IT