米Microsoft、Mozilla、Operaは12月9日(現地時間、以下同じ)、それぞれが提供するブラウザの証明書ストアをアップデートすることを発表した。Googleが12月7日に公表した不正な中間証明書の問題に対応したもの。
Googleは12月7日、12月3日までにgoogle.comドメインでフランスの認証局ANSSIによる不正な中間証明書が見つかり、誰もがなりすましできる状態だったことを公表した( http://googleonlinesecurity.blogspot.jp/2013/12/further-improving-digital-certificate.html )。Googleは同日、Chrome上でこの不正な中間証明書を失効させ、中間証明機関にアクセスできないようにした。また、ANSSIやブラウザベンダーに情報を伝えた。
Microsoftは12月9日、これを受けてセキュリティアドバイザリ(2916652)を公表( http://technet.microsoft.com/en-us/security/advisory/2916652 )。なりすましによるマンインザミドル攻撃のおそれがあるとし、Windows 7/8/8.1、Server 2008/2012、Windows Phone 8の証明書信頼リスト(Certificate Trust List)をアップデートするとした。アップデートは自動で行われる。ただし「XP、Server 2003についてはアップデートは提供されない」とのこと。
また、Mozillaは12月9日、Firefoxの証明書ストアでの失効措置とFirefoxのアップデートで対応することを公表( https://blog.mozilla.org/security/2013/12/09/revoking-trust-in-one-anssi-certificate/ )。Operaもブラウザの自動アップデートで対応することを発表した( http://blogs.opera.com/security/2013/12/certificate-update/ )。
なお、ANSSIは人為的なミスだったことを発表( http://www.ssi.gouv.fr/en/the-anssi/events/revocation-of-an-igc-a-branch-808.html )している。
http://news.goo.ne.jp/article/mycom/bizskills/healthcare/mycom_892080.html
