マイクロソフト セキュリティ アドバイザリ (2607712)の件で,ブラウザの証明機関から昨日インストールしているDigiNotarを削除したんだけど,今日ニュースを読んでいると,このことは結構問題を含んでいるようだ。
もちろん,Google の一部サイトに対して発行された不正な SSL 証明書の問題ということで,これ自体困ったものなんだが,エフセキュアの「Diginotar」がBlack.Spookとイランのハッカーによりハッキングとか読んでると,「Diginotar」の対応にかなりの疑問を呈している。書いていることのスタンスが23日に米Comodoが同じようなことを発表したときと違っているようだ。もちろん,執筆者も違うわけだが。そのときの記事というのは,これ。これを読むと,コードサイニングの悪用というのは,とっても怖いですね。
今回のことに対して,MSやMozillaはまたすぐに対応するだろうけど。どこか,証明書発行システムの根本的な見直しが必要なのかもしれない。まぁ,こういうことは,いたちごっこですが……
追記(9/1):Firefox 6.0.1,出ました。
追記(9/6):
ここのところ,サイトのCMSをWordPressに一本化することにスタックしているのだが,この追記は書いておくべきだろう。
「Diginotar」の件はますます痛い話になってきた。現在,ネット上での商売でデジタル証明書というは欠かすことにのできないものになっているんだから,こんなんあり得ないでしょう。こんなんとは,以下の記事のの中に書いてある「Diginotar」の対応ということだけど。
MozillaがDigiNotarのCA認定を取り消し、政府関連証明書も失効とか,Mozillaのこの対応も無理ないと思う。
後で気づいたが,Googleもこんなん書いてる。特に9/3のアップデートの内容に注目。