先日のブログでWoSignが偽の証明書を発行可能であることを書きました。例えば,Githubの下位ドメイン所有者がGithubの証明書を発行できてしまう問題がありました。もはやWoSignから発行した証明書は信頼できないのだから使えなくしてしまうしかないとブログでは指摘しました。
実際に,ブラウザのモジラがWoSignの発行した証明書をブロックする方針にしたそうです。
それでも,今まで発行された証明書はブロックせず,新規発行の証明書のみをブロックするそうです。ZDNet Japanに記事が出ています。
記事を読んでみると,WoSignは偽の証明書を発行しただけではなくて,他にもPublicルート認証局にあるまじき行為をしていたようです。
認証局とブラウザ開発者のフォーラムであるとCABrowser Forumでは,2016年1月1日以降はSHA-1の証明書を発行しないこととしています。ですので,GlobalSignやSymantecなどのルート認証局は,SHA-1の証明書は発行していません。
どうやら,WoSignはCAB Forumのメンバーでありながらこの規約を破り,2016年1月1日以降もSHA-1の証明書を発行してしまっていたようです。しかも,証明書の日付を古く偽装して。。。
そんなことをやったら,CAB Forumからは認定を外されても仕方ないですよね。CAB Forumは温情なのか,今まで発行した証明書はOKのままにしてくれるそうです。WoSignは無償のSSL証明書を発行してくれていたので,個人が運営しているサイトなどでも使っている人が多いと聞いています。無償のSSL証明書は,Let’s Encryptなども手がてていますので,別のCAを探していく必要があります。
Webサイトは常時SSLが主流になりつつあります。このブログはまだSSL化してませんが,近いうちにSSLしようと考えています。その時はLet’s Encryptを使おうかな。