Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

DigiCertの一部「EV SSL証明書」に不備 - 失効させ再発行

DigiCertの一部中間認証局が、WebTrustの監査リストに記載されていなかったことがわかった。同社は約5万件の「EV SSL証明書」を失効させ、利用者には再発行した証明書を用いるよう求めている。

問題の中間認証局は、「DigiCert Global CA G2」「GeoTrust TLS RSA CA G1」「Thawte TLS RSA CA G1」「Secure Site CA」「NCC Group Secure Server CA G2」「TERENA SSL High Assurance CA 3」。CertCentral、Symantec、Thawte、GeoTrustより発行され、これら中間認証局とチェーンされた「EV SSL証明書」が影響を受ける。

「EV SSL証明書」の発行にあたり、中間認証局は監査の対象となるが、7月2日に問題が指摘され、監査漏れが判明した。同社はこれら中間認証局による「EV SSL証明書」の発行を7月6日に停止。これら中間認証局にチェーンされた「EV SSL証明書」をすべて失効させた。影響を受ける証明書は、約5万件にのぼると見られる。

今回EVの監査漏れが判明した中間認証局については、WebTrust CAおよびBRの監査は行われていたとして、同社は失効させない方針。同中間認証局とチェーンされた「OV SSL証明書」「DV SSL証明書」については影響を受けないとしている。

(Security NEXT - 2020/07/14 ) このエントリーをはてなブックマークに追加

PR

関連記事

【不正チャージ問題】金融機関口座の取引履歴、「合算」表示に注意を
Windows向けの旧版「ウイルスバスタークラウド」に複数脆弱性
なりすまし不正口座開設、写真なし証明書を悪用 - 筆跡が酷似
スマホ決済「支払秘書」でなりすましによる不正チャージ
「ドコモ口座」経由で金融機関口座から不正引出 - 約1000万円の被害
複数メーカーの「ATM」に脆弱性 - 預金不正引出や乗っ取りのおそれ
サーバ管理証明書の一元管理プラットフォームを提供 - デジサート
卒業証明に利用する台帳が所在不明 - 横浜市の小学校
ふるさと納税寄付者の個人情報が流出、郵便誤配達で - 八千代市
医療情報狙う攻撃 - 新型コロナ前後の国内観測動向は