Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

DigiCertの一部「EV SSL証明書」に不備 - 失効させ再発行

DigiCertの一部中間認証局が、WebTrustの監査リストに記載されていなかったことがわかった。同社は約5万件の「EV SSL証明書」を失効させ、利用者には再発行した証明書を用いるよう求めている。

問題の中間認証局は、「DigiCert Global CA G2」「GeoTrust TLS RSA CA G1」「Thawte TLS RSA CA G1」「Secure Site CA」「NCC Group Secure Server CA G2」「TERENA SSL High Assurance CA 3」。CertCentral、Symantec、Thawte、GeoTrustより発行され、これら中間認証局とチェーンされた「EV SSL証明書」が影響を受ける。

「EV SSL証明書」の発行にあたり、中間認証局は監査の対象となるが、7月2日に問題が指摘され、監査漏れが判明した。同社はこれら中間認証局による「EV SSL証明書」の発行を7月6日に停止。これら中間認証局にチェーンされた「EV SSL証明書」をすべて失効させた。影響を受ける証明書は、約5万件にのぼると見られる。

今回EVの監査漏れが判明した中間認証局については、WebTrust CAおよびBRの監査は行われていたとして、同社は失効させない方針。同中間認証局とチェーンされた「OV SSL証明書」「DV SSL証明書」については影響を受けないとしている。

(Security NEXT - 2020/07/14 ) このエントリーをはてなブックマークに追加

PR

関連記事

サーバ管理証明書の一元管理プラットフォームを提供 - デジサート
卒業証明に利用する台帳が所在不明 - 横浜市の小学校
ふるさと納税寄付者の個人情報が流出、郵便誤配達で - 八千代市
医療情報狙う攻撃 - 新型コロナ前後の国内観測動向は
在宅業務のためUSBメモリを持ち出し紛失 - 岡山の小学校
露「APT29」、ワクチン情報狙いサイバー攻撃か - 2018年の国内検知マルウェアとも関連
サーバ証明書、最長でも約13カ月 - 毎年更新が必須に
個人情報関連の事務処理ミス19件を公表 - 大阪市
DV被害者住所をミスで加害者へ漏洩 - 三鷹市
クラウドで管理するソフトウェアVPNサービス - DNP