Mozillaは、WoSignが新たに発行するデジタル証明書をブロックする意向だ。WoSignは、GitHubの偽のHTTPS証明書を発行した中国の認証局(CA)である。
Mozillaはイスラエルに拠点を置く認証局StartComをブロックすることも提案している。WoSignは2015年11月にStartComを買収したが、何らかの理由で、同CAの所有権を取得したことを否定した。
Mozillaは、両認証局が新たに発行する証明書を1年間ブロックすることを提案している。その後、WoSignとStartComはMozillaの信頼プログラムへの参加を再申請しなければならない。WoSignは中国で新たに発行する証明書に関して、今後も信頼性を保証してほしいとMozillaに要請したが、Mozillaはこれを却下した。
ウェブユーザーへの影響を最小限に抑えるため、Mozillaは既存の証明書については、今後も信頼性を保証し続ける。「WoSignとStartComはこれまでに大量の証明書を発行している」からだ。
圧倒的な人気を誇るコードリポジトリGitHubのサブドメインについて、WoSignが偽の証明書を発行したことで、論争が巻き起こった。それを受けて、Mozillaは調査を開始した。
WoSignの行為は重大なセキュリティリスクと考えられた。なぜなら、攻撃者がその証明書を利用して、GitHubのウェブサイトになりすまし、ユーザーの通信を監視するおそれがあったからだ。過去に同様の事例もある。オランダの認証局DigiNotarがハッキング被害に遭った後、Googleドメインの偽の証明書が発行され、それがイラン国民を監視するために利用された。
しかし、Mozillaの報告書の焦点は、WoSignが「ブラウザでSHA-1証明書に対するブロックを回避するため、証明書の日付を意図的に実際より古く偽装したこと、資格のある監査役がいたこと、そして、CA/Browser ForumのBaseline Requirements違反が発覚したこと」に絞られている。
WoSignがブロックされるもう1つの理由は、認証局の所有権変更の開示を求めるMozillaの要件にWoSignが既に違反していたことだ。Mozillaによると、WoSignは2015年11月1日に実施されたとされるStartComの買収の直後、所有権の変更を「直接的に否定」したという。
WoSignは先頃、StartComとの関係について、StartComへの「100%の株式投資」と説明し、両認証局がそれぞれ独立的に運営されていることを示唆した。しかし、買収直後、「StartComがWoSignのインフラストラクチャを使って証明書を発行するようになった」ことを示す証拠を見つけた、とMozillaは述べている。
Mozillaが提案を実行に移した場合、WoSignはMozillaが選んだ監査役による証明書発行インフラストラクチャのセキュリティ監査を受ける必要がある。さらに、Googleの「Certificate Transparency」フレームワークを実装する必要もある。
Mozillaは、WoSignの監査役であるErnst & Youngの香港部門による監査をもう受け入れないとした。Mozillaによると、Ernst & Youngの香港部門は複数の問題を見逃していたという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。