3月24日、マイクロソフトは「不正なデジタル証明書により、なりすましが行なわれる」というセキュリティアドバイザリ(2524375)を公開した。米国の認証局コモド(Comodo)が不正なデジタル証明書を発行してしまったというもので、この証明書を受け入れないよう更新プログラムを公開したとしている。
コモドの発表によると、3月23日に侵入を受け、身元を確認せずに証明書を不正に発行してしまったという。マイクロソフトによると、発行してしまったのは、
- login.live.com
- mail.google.com
- www.google.com
- login.yahoo.com(証明書3つ)
- login.skype.com
- addons.mozilla.org
- "Global Trustee"
の9つとなる。
「login.live.com」は、Hotmailなどのマイクロソフトのオンラインサービスでログインに使われるドメイン名だ。正規のマイクロソフトのWebサイトでログインする際は、サーバ側が用意する正規の証明書が使われ、Webブラウザからは信頼できるWebサイトと認識される。しかし、フィッシングなどで「login.live.com」を詐称するWebサイトに誘導され、不正発行の「login.live.com」の証明書が使われると、詐称サイトでありながら信頼できるWebサイトと認識されてしまう危険がある。
コモドではこれらの証明書をすでに失効させており、「証明書失効リスト(CRL:Certificate Revocation List)」に登録している。通常、Webブラウザは「オンライン証明書状態プロトコル(OCSP:Online Certificate Status Protocol)」によりCRLの情報を得て、失効した証明書を無効とする。しかし、この情報の伝達には時間がかかるため、マイクロソフトでは証明書を無効化する更新プログラムを作成し、Windows Updateなどによる配布を始めている。冒頭で紹介したセキュリティアドバイザリにある更新プログラムとは、このことだ。
インターネットのプロパティにある「信頼されない発行元」。ここには失効証明書が登録されており、画面では一部しか見えないが、今回の失効された9つの証明書も入っている。なお、mail.google.comの下にある「Microsoft Corporation」の証明書は、2001年にベリサインにより不正発行されてしまった証明書だ。
同様の問題はFireFoxでも発生しており、こちらもVer.3.6.16/3.5.18という新バージョンの公開を行なっている。
