「Trustico扱い証明書の失効について」DigiCertの声明

ニュースソース:DigiCert Blog

以下は、2018年2月28日に公開されたDigiCert Statement on Trustico Certificate Revocationを要約したものです。


Trusticoは、Symantec、GeoTrust、Thawte、RapidSSLの証明書の失効を要求し、証明書が漏洩したと主張しました。
当社は「危殆化」の証拠を求めましたが、詳細な情報は得られませんでした。
その後、TrusticoのCEOは、約2万通の証明書の秘密鍵を電子メールで当社に送信してきました。
この時点で、当社にはCA/ブラウザフォーラムのベースラインに基づき、これらの証明書を24時間以内に失効させる義務が発生しました。
当社は、標準的な失効処理の後、秘密鍵に対応する証明書所有者に電子メールで失効を通知しました。

Trusticoは、失効要求は、Google ChromeのSymantecのroot証明書無効化が理由であることを示唆しています。
しかし、当社の失効処理は秘密鍵がメール送信されたことにより秘密鍵が危殆化したためです。

注:TrusticoはイギリスのSSL証明書販売代理店で、Symantec、GeoTrust、Thawte、RapidSSLの証明書を大量に取り扱っていました。2018年2月2日時点で、約5万件の証明書の失効要求がDigiCertに寄せられましたが、この時点では「危殆化」の証拠が提示されなかったため「失効」は行われませんでした。
本来、秘密鍵は証明書所有者以外がアクセスできないもので、第三者がアクセスできた時点でその証明書は失効すべきものです。このことはCA/ブラウザフォーラムのベースラインで明確に規定されています。
販売代理店であるTrusticoが秘密鍵をどのように管理していたのかが疑問視されています。