Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

DigiCertの一部「EV SSL証明書」に不備 - 失効させ再発行

DigiCertの一部中間認証局が、WebTrustの監査リストに記載されていなかったことがわかった。同社は約5万件の「EV SSL証明書」を失効させ、利用者には再発行した証明書を用いるよう求めている。

問題の中間認証局は、「DigiCert Global CA G2」「GeoTrust TLS RSA CA G1」「Thawte TLS RSA CA G1」「Secure Site CA」「NCC Group Secure Server CA G2」「TERENA SSL High Assurance CA 3」。CertCentral、Symantec、Thawte、GeoTrustより発行され、これら中間認証局とチェーンされた「EV SSL証明書」が影響を受ける。

「EV SSL証明書」の発行にあたり、中間認証局は監査の対象となるが、7月2日に問題が指摘され、監査漏れが判明した。同社はこれら中間認証局による「EV SSL証明書」の発行を7月6日に停止。これら中間認証局にチェーンされた「EV SSL証明書」をすべて失効させた。影響を受ける証明書は、約5万件にのぼると見られる。

今回EVの監査漏れが判明した中間認証局については、WebTrust CAおよびBRの監査は行われていたとして、同社は失効させない方針。同中間認証局とチェーンされた「OV SSL証明書」「DV SSL証明書」については影響を受けないとしている。

(Security NEXT - 2020/07/14 ) このエントリーをはてなブックマークに追加

PR

関連記事

個人情報関連ミス、12月前後の1カ月で17件 - 大阪市
「特別定額給付金」フィッシング、実際に誘導されるケースも
ふるさと納税の受納証明書600人分を別人へ誤送付 - みやき町
ふるさと納税関連書類を誤送付、封入ミスで - 雨竜町
生活保護受給者の複数記録簿が所在不明 - 八尾市
正規署名で検知回避する「SigLoader」 - VPN経由の標的型攻撃で悪用
「Docker API」狙う攻撃に注意 - 9月ごろより増加
公開情報からネット接続機器を検出、脆弱性を診断するサービス
暗号資産取引所「Liquid」、DNSが改ざん被害 - 本人確認用データなど流出か
物件資料データ送信時に顧客情報を誤送信 - 近鉄不動産