中国の認証局Wosignをめぐる問題

2017年1月6日

ニュースソース:CA Security COUNCIL

※以下の文章は、Trust on the Public Web – The Consequences of Covert Actionを要約したものです。

中国の認証局のWosignが、SHA-1証明書の発行日付を規定期限の2015年12月31日より前の日付にバックデートし偽装したことが明らかになりました。

当初WoSignは事実を否定しましたが、Mozillaの調査により証拠が示された後、64件の証明書の偽装を認める報告書を公表しました。WoSignは不正なドメインに対しても証明書を誤発行していました。
また、WoSignがブラウザ開発各団体側に通知せずにイスラエルの認証局のStartcomを買収したことも問題となりました。

WoSignの不正行為に対して、Mozillaはコミュニティからの情報提供を基に議論を行い、措置を実施しました。
MozillaはWoSignの4つのルート認証書とStartcomの2つのルート認証書により発行される証明書は信頼できないとの見解を示し、また今後発行されるすべての証明書には「証明書の透明性」(CT)を必要とするとの決定を公表しました。
CTは認証局の発行する証明書を監視する有効な技術として証明されています。既存のWoSignとStartcomの証明書は有効ですが、2016年10月21日以降に発行された証明書は、Firefoxバージョン51以降は信頼できない証明書として扱われます。
もっとも2017年6月1日以降、WoSignとStartcomは新しいルート認証局としての申請が可能となる見通しですが、そのためには運用、方針、監査を変更する業務改善が求められます。Mozillaはこれらの変更についてバグレポートで報告しました。これらの内容はMozillaのブログでより簡潔にまとめられています。

Appleは、WoSignのG2中間証明書を利用する2016年9月19日以降に発行された無料のSSL証明書も今後信頼できないと公表しました。
GoogleもChromeのバージョン56以降はWoSignとStartcomのルート証明書は信頼できないと公表しました。

しかしWoSignは証明書の販売を継続すると公表しています。これは他の認証局の証明書を再販するか、ルート認証局からサブ認証局ライセンスを購入する予定であるためと推測されます。
これらの認証局の証明書の利用者は、当面は他の証明書に置き換えることが望ましいでしょう。