@niftyビジネスより
大変だね。
止まらぬ「ニセ証明書」問題、WindowsやFirefox、セキュリティ更新を拡大し緊急対応
Webサイトが本物であると証明するはずの「SSL証明書」が不正発行され、偽サイトに悪用された問題で、当初明らかになっていた米Google(グーグル)の偽サイトに加え、ほかの偽サイトが悪用できる証明書が数百存在することが分かった。「Windows」を開発する米Microsoft(MS)や、Webブラウザ「Firefox(ファイアフォックス)」を開発する米Mozilla(モジラ)はセキュリティ更新の範囲を拡大して対応を急いでいる。
SSL証明書を発行する「認証局」の1つ、オランダのDigiNotar(デジノター)がハッキングを受け、Googleの偽サイトで悪用できる不正な証明書の発行が2011年8月に明らかになったが、(関連記事)、DigiNotarの追跡調査でさらに数百の不正証明書の存在が明らかになった。これらはMSやミニブログ「Twitter(ツイッター)」の偽サイトが悪用できるものを含む。
MSはすでに「Windows 7」と「Windows Vista」で、DigiNotarの証明書を無効にする措置をとっていたが、新たに「Windows XP」と「Windows Server 2003」およびすべてのWindowsアプリケーションにも対象を広げた。いずれもWindowsの自動更新機能を使って適用する。
MSはDigiNotarのすべての証明書が信用にあたらないと判断し、DigiNotarが発行した証明書を信頼リストから除外している。これでWindowsの利用者は不正な証明書の影響を受けずに済むはずだとしている。
一方、Mozillaも「Firefox」とメールソフト「Thunderbird(サンダーバード)」のセキュリティ更新を行った。両ソフトとも自動更新機能を使って通知、適用する。対象はFirefox 6と3.6、およびThunderbird 6と3.1、さらにFirefox 7、Thunderbird 7以降のベータ版(試用版)だ。
前回のセキュリティ更新では、DigiNotarから不正発行された証明書が、ほかの認証局によって「クロス署名」されていた場合、正当なものと見なしてしまう恐れがあった。今回の更新はこうした証明書もすべて無効にする。
(植木 皓=ニューズフロント)
詳しくはここから
iPhoneからの投稿
↧
止まらぬ「ニセ証明書」問題、WindowsやFirefox、セキュリティ更新を拡大し緊急対応
↧