中国最大級の認証局「WoSign」が偽物の証明書を発行

無料でSSLサーバ証明書を発行している中国最大級の認証局「沃通(WoSign)」が、偽物の証明書を大量に発行していた事が明らかになりました。

SSLサーバ証明書を販売しているjapan-ssl.comに、Google cheomeブラウザでアクセスするとURLが「https://www.japan-ssl.com」というように「https」から始まっていて、その左側に鍵(南京錠)のマークがついています。これは、サイトがSSLを導入していることを示します。

addressbar

サイトの側では、SSLサーバ証明書を発行してもらって、サーバへインストールすることでSSLを導入できます。

この証明書を発行してくれる認証局に、シマンテックやグローバルサイン、FujiSSLなどがあり、WoSignも証明書を発行してくれる認証局の一つになります。

ところが、WoSignには、サブドメインの管理権があるだけで、ベースドメインの証明書を発行できるという脆弱性があったことが判明しました。

これは例えて「example.com」のドメイン管理者が、利用者の為にサブドメイン「sub.example.com」を発行したにも関わらず利用者がサブドメインの証明書以外にに使用権の無いドメイン「example.com」の証明書を発行できてしまい、ドメイン認証確認がされていない偽物の証明書が発行された事になります。

これは、セントラルフロリダ大学医学部のStephen Schrauger氏が、医学部公式サイト(http://med.ucf.edu)をSSL対応にする際、経費節減になるかもと思って、2015年春に無料SSL証明書の発行を開始したWoSignで試しに証明書を取得しようとして偶然発見したものです。

 

college-of-medicine

「med.ucf.edu」に対しての証明書取得は問題なく行えたのですが、サブドメインに対して「www」を追加しようと申請する際、Schrauger氏は対象ドメインを医学部の「www.med.ucf.edu」ではなく、誤って大学全体にあたる「www.ucf.edu」と入力してしまいました。

Schrauger氏は「医学部のサイト(med.ucf.edu)の管理者」であって、「大学のサイト(ucf.edu)の管理者」ではなく、「ucf.edu」および「www.ucf.edu」には触れることができません。自分が大学のサイト全体を対象にしたと気付いたSchrauger氏は間違いに気付いたそうですが、WoSignは「med.ucf.edu」ではなく「ucf.edu」の証明書を発行してきました。

「まさか」と思ったSchrauger氏は、ユーザー名のサブドメインが与えられるGithubで検証を実施したのですが、その結果、「github.com」「github.io」に対する証明書を取得することに成功。WoSignの証明書発行に大きな欠陥があり、「偽物の証明書」を発行する状態であることがわかりました。

この件を報告すると、Schrauger氏の取得した「github.com」「github.io」に対する証明書は無効にされましたが、多くのユーザーによって、WoSignがいまだに「偽物の証明書」を無効にしていないことがわかっています。

なお、この問題はすでに14ヶ月以上も放置されているそうです。

この問題により米MozillaやGoogle、AppleがそれぞれのWebブラウザで両社の証明書を信頼できない証明書として扱うと表明しました。

l_sa_sn20

Googleは10月31日のブログで、Chrome 56(2017年1月にリリース予定)以降のバージョンではWoSignとStartComが10月21日以降に発行した証明書を信頼できる証明書として扱わないとしています。

 

 

distrusting-new-wosign-and-startcom-certificates-mozilla-security-blogMozillaのFirefoxでもWoSignとStartComが10月21日以降に発行した証明書について、Firefox 51(現在aurora版、安定版は2017年1月24日リリース予定)以降のバージョンで無効とするとしています。

10月24日のブログで、WoSignには技術的、管理的問題が多数あると指摘していた。Mozillaなどは認証局に対して2016年1月1日までにSHA-1を使ったSSL証明書の発行を中止するよう求めていたが、WoSignはこの措置を免れる目的で、証明書に実際よりも前の日付を入れていたことが分かったという。

 

Googleも8月頃にGitHubのセキュリティチームから、WoSignがGitHubのドメインの1つについて許可なく証明書を発行したとの連絡を受け
Mozillaなどと協力して調査を行なった際に、WoSignが不正な証明書を発行していたケースがほかにも多数見つかったとしている。

さらに、WoSignは別の認証局のStartComを買収していたにもかかわらず、その事実を公表しなかったとMozillaは指摘した。Googleもこの買収について「WoSignとStartComは証拠を突き付けられると、買収および両社の関係についてブラウザコミュニティをあざむこうと画策した」と批判している。

この経緯からMozillaとGoogleは、両社が認証局に要求される高い水準を満たしておらず、ポリシーに違反していると判断した。

これに先立ちAppleも9月30日、WoSignの証明書発行プロセスに複数の問題が多数あったとして、SafariなどのApple製品でWoSignの関係する証明書を失効させると通告していた。