Symantecは米国時間1月21日、誤発行された複数のデジタル証明書を無効にしたことを認めた。証明書の無効化措置は、同社にとって今回が初めてではない。
SSLMateのAndrew Ayer氏は19日、不正使用されているSymantecの証明書を複数発見したと公表した。これらの証明書はexample.comのほかに、test1.comやtest2.com、test.comといったさまざまなtest.com系のドメイン用として発行されていた。
Ayer氏はアドバイザリに「test4.comとtest8.comを除き、これらのドメインはさまざまなエンティティに対して登録されており、所有者と運営者の双方の点で、お互いにまったく関連がないように見受けられる」と記している。このため、ドメイン所有者が協力しあって証明書を認証したり、ウェブ上でデジタルなアイデンティティを証明したり、ドメインを特定のセキュリティ規約に準拠させようとしている「可能性は低い」ことが示唆されている。
同氏によると、Symantecは問題のあるtest.com証明書を2016年の10月と11月に発行していたという。
Symantecの製品マネージャーを務めるSteve Medin氏は21日、これらの証明書が「WebTrustの監査基準を満たすパートナーの1社によって発行された」として、問題の存在を認めた。またSymantecは、調査が完了するまで同パートナーの証明書発行権限を停止することにしたという。
Medin氏は、「われわれは、(欠格事由が生じた場合に)24時間以内に失効措置を講じるというCA/Bフォーラム(CAブラウザフォーラム)のガイドラインに合わず有効な状態になっていた、今回報告されているすべての証明書を失効させた。これらの証明書それぞれは『O=test』(組織名=test)と設定されていた」と述べるとともに、「調査は継続中だ」と述べている。
The Registerの記事によると同氏は、このような証明書の誤発行がWebTrustにおいて、どのような経緯で発生したのかを引き続き調査したうえで、「Symantecの解決策と、原因分析、是正措置を、完了した時点で報告する」とも述べている。
同社が証明書の誤発行によって矢面に立たされるのは、これが初めてではない。2015年にGoogleは、CA/Bフォーラムの基本要件(Baseline Requirements)を満たさなくなった鍵長1024ビットのRSA暗号を使用していたSymantecのルート証明書の1つを「Google Chrome」および「Android」から削除している。
Googleは現在、同社が信頼していない証明書の発行局と証明書を概説する、Certificate Transparencyと呼ばれるドメインを運用している。
提供:Symantec
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。