認証局のSSL証明書発行問題 

認証局のSSL証明書発行問題

信頼と実績のリピート率72.8%!!お悩み事、問題事の解決方法をお探しのお客様はアイ総合コンサルタントへ是非ご相談ください!一人で悩まず、私共にご相談頂ければ、必ずやあなたのお力になれます!秘密厳守も徹底しておりますので、安心してご相談ください。あらゆるネットワークを備え、どんなお悩みごと、問題ごとにも柔軟に対応し、解決させて頂きます。この状勢下、様々なお悩み事や問題事を抱えておられる方が近年増加しています。「だけど、どこに相談すればいいのか分からない」というのが気持ちもある事と思います。そのようなお悩みをお持ちのお客様がいらっしゃいましたら、是非私共、アイ総合コンサルタントへとご相談くださいませ。確かな知識を備えた専門のスタッフがあなたのお悩みや問題を徹底的にサポートし、早期解決とへ導くべく、お客様の幸せの一助になる事を志し、誠心誠意、まごころを持ってお手伝いをさせて頂きます。男女のもつれや近隣とのやっかい事、金銭や犯罪にまつわる問題だけでなく、家族・親族間での心配事は勿論の事、職場や企業における悩み事、商取引における衝突などにも対応させて頂きます。これら以外にも諸々のご相談事を承っておりますので、該当するものがないと思われるケースに遭遇しておられる方も、是非一度当方までお問い合わせ頂ければ、専門スタッフがご相談に応じさせて頂きます!
不正取得で攻撃の恐れ

 

SSL証明書を発行する一部のルート認証局が、メールアドレスで申請者がドメイン所有者であるかを確認している行為について、米CERT/CCなどのセキュリティ機関が問題視している。CERT/CCは「メールではドメイン所有者が正しい存在であることを証明できない」とコメント。第三者が不正にSSL証明書を取得して、悪質なHTTPSサイトを構築したり、暗号化通信の内容を盗聴したりする可能性があるという。

 

一般的にルート認証局は、証明書の発行を依頼した人物がドメイン所有者、もしくはドメイン所有者から了承を得た立場であることを厳密に確認してから証明書を発行する。証明書の発行を受けたドメイン側は、アクセスするユーザーに証明書を提示し、ユーザーは証明書が信頼のあるルート認証局から発行されたことを確認して暗号化通信が可能になる。つまり、ルート認証局はドメイン所有者の身元を“きちんと確認している”という前提があるわけだ。

CERT/CCが問題視するのは、多くのルート認証局が提供している「ドメイン認証型」のサービス。一部のルート認証局は、証明書発行を申請したドメインの身元を、そのドメイン名を使ったメールアドレスが有効かどうかだけで確認しているという。一方で、実際に電話連絡ができることや、法人登記などの書類を用いた追加的な身元確認作業をしている認証局も多い。

認証局やベンダーが加盟するCA/Browser Forumのガイドラインでは、ルート認証局がドメイン所有者の身元を確認する際に、「admin」「administrator」「webmaster」「hostmaster」「postmaster」とドメイン名によるメールアドレスを利用できるとしている。

ところが、この規定から外れたメールアドレスでも身元確認をしているルート認証局があるという。情報処理推進機構によれば、例えば「ssladministrator@example.com」のメールアドレスで連絡できることをルート認証局が確認すれば、「example.com」ドメインの証明書が発行されてしまう。悪意を持った人物が不正に証明書を取得してWebサイトを構築し、ユーザーに“信頼できるWebサイト”と信じ込ませて暗号化通信の内容を入手する可能性がある。

特にメールサービスを提供するWebサイトのドメインではリスクが高いという。ドメイン所有者とは関係のない第三者が、ルート認証局で確認に使っているメールアドレスを不正に入手した場合、ドメイン所有者の知らないうちに、そのドメインの証明書が発行されてしまう恐れがある。

ユーザーのWebブラウザで「強化版SSL」と呼ばれるEV SSL証明書を導入しているWebサイトにアクセスすると、URLのアドレスバーが緑色で表示され、一目で判断できる。だがEV SSL証明書以外では、ドメイン認証型で発行された証明書や、追加確認をした上で発行された証明書が区別なく表示されてしまうため、ユーザーがドメインの身元が正しいどうかを確認する術がない。

CERT/CCではルート認証局の状況を公開。4月1日現在で8つの認証局が「問題に該当しない」とされ、国内では日本情報経済社会推進協会(JIPDEC)やセコムトラストシステムズの名前が挙げられている。

CERT/CCが指摘する問題は、正規のドメイン管理者やWebサイトのユーザーが対策できない点で深刻だという。SSL証明書の発行価格はサービスによって異なる。事業者によっては、認証局での確認作業を簡素化してコストダウンを図っているところがあるものの、安価でも厳格な確認作業をしている認証局もある。CERT/CCが指摘する問題が広がれば、ドメイン所有者やユーザーは認証局の信頼性を自分で判断しなければならい状況に置かれそうだ。