無料のSSL証明書の発行を専門とする中国の認証機関WoSignは、基本的な
Githubおよび中央フロリダ大学
ドメインの重複証明書を平均的なユーザーに誤って発行
しました 。
間違いは学校の生徒の1人によって発見されました-この話を説明
した Mozillaの従業員Gervase Markhamによる
と 、すべては2016年4月に起きましたが、それは今だけ知られるようになりました。
問題は何ですか
今年の春、セントラルフロリダ大学の学生がmed.ucf.eduサブドメインの証明書のリクエストを提出しました。リクエストの中で、彼は誤って機関のメインドメイン(www.ucf.edu)を示しました。 驚くべきことに、WoSignはこの研究を承認し、証明書を発行しました。 同様に、学生はGitHubドメイン(github.com、imtqy.com、
www.imtqy.com)の証明書を取得できました。
これは、認証センターの作業の誤りが原因で可能になりました。ユーザーがサブドメインの制御を確認できた場合、ベースドメインに対して無料のSSL証明書を発行しました。 WoSignにはエラーが通知されましたが、これまでのところGitHubドメイン証明書のみが取り消されています。
そのようなエラーから身を守る方法
マーカムが指摘したように、ucf.eduの証明書は取り消されませんでした。これは、「WoSignがデータベースにそのようなエラーをチェックする能力の欠如または不本意」を示しています。 これは、認証局が誤って発行された証明書を検出して取り消すことができない場合があることを意味します。
ドメイン所有者は、別のSSL証明書が発行されたかどうかを独自に調べることができます。これが発生した場合、攻撃者は攻撃を実行する十分な機会を得られます。
これを行うには、
証明書の透明性 (CT)サービスを使用できます。これにより、プライベートおよび企業のドメイン所有者は、ドメインに対して発行された証明書の数に関する情報を確認できます。 WoSignなど、多くの認証センターがサービスに接続されています。
CTを使用しても、既に発行された証明書の使用は妨げられませんが、この可能性について知ることができます。
Certificate Transparencyデータベースで証明書を検索するための特別なサービスは、
Googleと
Comodoによってリリースされ
ました 。