DigiNotar というオランダのSSL 認証局がハッカー(クラッカー)の攻撃を受け、偽のSSL 証明書が作られ(発行され) た、という事件があったようで、結構おおごとになってる模様。
- DigiNotar偽SSL証明書事件、「twitter.com」などにも拡大、全貌は未だ不明 -INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20110906_475443.html
で、SSL の証明書というのは「信頼されている(認証局が発行した)証明書に信頼(発行)された証明書は、信頼できる」みたいな数珠つなぎの構造になっていて、今回認証局が偽の証明書を発行してしまったことでその根本が危なくなった(偽のWebサイトに誘導することが可能になってしまう、等)、ということで、ちょっと安全確認しておいたほうがよさげ。
今できることは大まかにいってふたつ。
- OS の更新
- ブラウザ の更新
- MSがDigiNotarの偽証明書問題でアップデートを提供、Mozillaも追加対策 -INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20110907_475697.html - Microsoft、不正SSL証明書問題に対処 Firefoxは再度更新 - ITmedia ニュース
http://www.itmedia.co.jp/news/articles/1109/07/news017.html - マイクロソフト、デジノターのSSL証明書を無効化するアップデートを提供 - Computerworld
http://www.computerworld.jp/topics/563/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%83%BB%E3%83%9E%E3%83%8D%E3%82%B8%E3%83%A1%E3%83%B3%E3%83%88/200680/%E3%83%9E%E3%82%A4%E3%82%AF%E3%83%AD%E3%82%BD%E3%83%95%E3%83%88%E3%80%81%E3%83%87%E3%82%B8%E3%83%8E%E3%82%BF%E3%83%BC%E3%81%AESSL%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%92%E7%84%A1%E5%8A%B9%E5%8C%96%E3%81%99%E3%82%8B%E3%82%A2%E3%83%83%E3%83%97%E3%83%87%E3%83%BC%E3%83%88%E3%82%92%E6%8F%90%E4%BE%9B
Windows であればSSL 証明書を無効化する更新プログラムが既にWindows Update 等から提供されているので、それを入れればInternet Explorer でのアクセスも大丈夫になります。
- アドバイザリ 2607712 更新 - DigiNotar 社のデジタル証明書を削除する更新プログラムを公開 - 日本のセキュリティチーム - Site Home - TechNet Blogs
https://blogs.technet.com/b/jpsecurity/archive/2011/09/07/3451476.aspx - 窓の杜 - 【NEWS】Microsoft、"DigiNotar"のSSL証明書を失効させる更新プログラムを公開
http://www.forest.impress.co.jp/docs/news/20110907_475710.html
Mac は、現時点ではオフィシャルのアップデートがないため、手動でSSL 証明書を削除したり無効化したりする必要があるようです。数日中に何らかの対応が発表されるはずですし、手動で変更して失敗するリスクもあるわけなので、「今すぐどうしても何とかしないと気が休まらない」というのでもない限り、それを待ったほうがいいと思います。
- Remove the Diginotar CA trust from Mac OS X | Sable Cantus
http://www.cantus.us/mac/remove-the-diginotar-ca-trust-from-mac-os-x - Protecting Your Mac From the DigiNotar.nl Certificate Compromise -- ps Enable
http://ps-enable.com/articles/diginotar-revoke-trust
あとはブラウザ。Firefox とGoogle Chrome は対応済み。Opera とSafari は情報見つけられず。Thunderbird も更新されてるので要確認。
Firefox、Google Chrome、Thunderbird はWindows/Mac どちらも対応済み。
- 窓の杜 - 【NEWS】「Google Chrome」安定版v13.0.782.220が公開、偽SSL証明書問題への対応を強化
http://www.forest.impress.co.jp/docs/news/20110905_475356.html - 窓の杜 - 【NEWS】Mozilla、偽SSL証明書問題への追加対策を施した「Firefox」「Thunderbird」v6.0.2
http://www.forest.impress.co.jp/docs/news/20110907_475713.html
アップデートできるものはアップデートしておいたほうが良いです。
iOS とかandroid はどうするんだろう...。
追記
Apple から「セキュリティアップデート2011-005」 がリリースされました。すでにソフトウェアアップデート等から入手ができます。が、Leopard(10.5) は対象外なので要注意。
- About Security Update 2011-005
https://support.apple.com/kb/HT4920
- アップル、デジノターの不正証明書問題に対処するOS Xのアップデートを公開 - Computerworld
http://www.computerworld.jp/topics/563/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%83%BB%E3%83%9E%E3%83%8D%E3%82%B8%E3%83%A1%E3%83%B3%E3%83%88/200711/%E3%82%A2%E3%83%83%E3%83%97%E3%83%AB%E3%80%81%E3%83%87%E3%82%B8%E3%83%8E%E3%82%BF%E3%83%BC%E3%81%AE%E4%B8%8D%E6%AD%A3%E8%A8%BC%E6%98%8E%E6%9B%B8%E5%95%8F%E9%A1%8C%E3%81%AB%E5%AF%BE%E5%87%A6%E3%81%99%E3%82%8BOS+X%E3%81%AE%E3%82%A2%E3%83%83%E3%83%97%E3%83%87%E3%83%BC%E3%83%88%E3%82%92%E5%85%AC%E9%96%8B - Mac OS X向けセキュリティアップデート公開、DigiNotarの偽証明書問題に対応 -INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20110912_476907.html - アップル、Mac OS X Snow LeopardとLionをアップデート--DigiNotarへの攻撃を受け - CNET Japan
http://japan.cnet.com/news/service/35007268/ - Appleも不正証明書問題に対応、Mac OS Xのアップデート公開 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1109/12/news027.html
Mac OS X 10.5 以前の場合はSafari の使用を中止し、Firefox かGoogle Chrome などを使用することを検討したほうが安全と思います。
なお、現在使用中のブラウザが対策済みかどうかは、https://www.diginotar.nl/foobar などの、「実際には存在しないであろうアドレス」 にアクセスし、「404 not found」 が表示されれば対策されていない、それ以外の証明書関連のエラーが表示された場合は対策済み、という方法で判断できるようです。
DigiNotarのCA証明書がブラウザに残ってるかどうかは http://t.co/ViqbdL7 にアクセスしてみればOK。証明書のエラーが発生せず素直に404 not foundが表示されるのであれば、DigiNotarのCA証明書が残ってる。
nnsʇɐɯ
matsuu
情報ありがとうございます。