DigiCertの一部「EV SSL証明書」に不備 - 失効させ再発行
DigiCertの一部中間認証局が、WebTrustの監査リストに記載されていなかったことがわかった。同社は約5万件の「EV SSL証明書」を失効させ、利用者には再発行した証明書を用いるよう求めている。
問題の中間認証局は、「DigiCert Global CA G2」「GeoTrust TLS RSA CA G1」「Thawte TLS RSA CA G1」「Secure Site CA」「NCC Group Secure Server CA G2」「TERENA SSL High Assurance CA 3」。CertCentral、Symantec、Thawte、GeoTrustより発行され、これら中間認証局とチェーンされた「EV SSL証明書」が影響を受ける。
「EV SSL証明書」の発行にあたり、中間認証局は監査の対象となるが、7月2日に問題が指摘され、監査漏れが判明した。同社はこれら中間認証局による「EV SSL証明書」の発行を7月6日に停止。これら中間認証局にチェーンされた「EV SSL証明書」をすべて失効させた。影響を受ける証明書は、約5万件にのぼると見られる。
今回EVの監査漏れが判明した中間認証局については、WebTrust CAおよびBRの監査は行われていたとして、同社は失効させない方針。同中間認証局とチェーンされた「OV SSL証明書」「DV SSL証明書」については影響を受けないとしている。
(Security NEXT - 2020/07/14 )
ツイート
PR
関連記事
不正なVPN接続を確立できる「PAN-OS」脆弱性 - 悪用を確認
「Samba」にRCEなど6件の脆弱性 - 修正パッチを公開
複数ソフトが改ざん被害、正規ルートで汚染版が流通 - 米当局が注意喚起
「Argo CD」に深刻な脆弱性 - トークンやAPIキー漏洩のおそれ
「Ivanti EPMM」に複数脆弱性 - ゼロデイ攻撃も発生
ファイル転送サーバに不正アクセス、個人情報流出か - 沖縄総合事務局
都で宅建業者の始末書などが所在不明 - 行政処分手続き時に判明
先週注目された記事(2026年4月12日〜2026年4月18日)
「Cisco Webex」のSSO連携に深刻な脆弱性 - 証明書の更新を
Palo Alto、「Cortex XSOAR」など複数製品で脆弱性を修正
