2016年09月01日 06時00分 セキュリティ

中国最大級の認証局「WoSign」がニセの証明書を発行していたことが判明

by Barney Moss



無料でSSL証明書を発行してくれることで、多くの自宅サーバーユーザーに重宝されている中国最大級の認証局「沃通(WoSign)」が、「偽物の証明書」を大量に発行していたことが明らかになりました。



The story of how WoSign gave me an SSL certificate for GitHub.com | Schrauger.com

https://www.schrauger.com/the-story-of-how-wosign-gave-me-an-ssl-certificate-for-github-com





Thoughts and Observations: Chinese CA WoSign faces revocation after possibly issuing fake certificates of Github, Microsoft and Alibaba

http://www.percya.com/2016/08/chinese-ca-wosign-faces-revocation.html



SSLは「Secure Socket Layer」の略。情報を暗号化して送受信を行うことで、ネットで個人情報やクレジットカード番号のような重要なデータを安全にやりとりすることができます。



たとえば、ネットショッピングサイトであるAmazon.co.jpにFirefoxでアクセスすると、URLが「https://www.amazon.co.jp」というように「https」から始まっていて、その左側に鍵(南京錠)のマークがついています。これは、サイトがSSLを導入していることを示します。





サイトの側では、SSLサーバ証明書を発行してもらって、サーバへ保存・インストールすることでSSLを導入できます。この証明書を発行してくれる認証局にシマンテックやグローバルサイン、そして中国系のWoSignがあります。WoSignは3年間無料で使える「WoSign Free SSL Certificate」で、自宅サーバーにSSLを導入したい人らに重宝されてきました。



ところが、WoSignには、サブドメインの管理権があるだけで、ベースドメインの証明書を発行できるという脆弱性があったことが判明しました。





これは、セントラルフロリダ大学医学部のサイト管理を行っていたStephen Schrauger氏が偶然発見したもの。Schrauger氏は、医学部公式サイト(http://med.ucf.edu)をSSL対応にする際、経費節減になるかもと思って、2015年春に無料SSL証明書の発行を開始したWoSignで試しに証明書を取ることにしました。



UCF College of Medicine

https://med.ucf.edu/





「med.ucf.edu」に対しての証明書取得は問題なく行えたのですが、サブドメインに対して「www」を追加しようと申請する際、Schrauger氏は対象ドメインを医学部の「www.med.ucf.edu」ではなく、誤って大学全体にあたる「www.ucf.edu」と入力してしまいました。



Schrauger氏は「医学部のサイト(med.ucf.edu)の管理者」であって、「大学のサイト(ucf.edu)の管理者」ではなく、「ucf.edu」および「www.ucf.edu」には触れることができません。自分が大学のサイト全体を対象にしたと気付いたSchrauger氏は間違いに気付いたそうですが、WoSignは「med.ucf.edu」ではなく「ucf.edu」の証明書を発行してきました。



「まさか」と思ったSchrauger氏は、ユーザー名のサブドメインが与えられるGithubで検証を実施したのですが、その結果、「github.com」「github.io」に対する証明書を取得することに成功。WoSignの証明書発行に大きな穴があり、「偽物の証明書」を発行する状態であることがわかりました。



この件を報告すると、Schrauger氏の取得した「github.com」「github.io」に対する証明書は無効にされましたが、多くのユーザーによって、WoSignがいまだに「偽物の証明書」を無効にしていないことがわかっています。なお、この問題はすでに14ヶ月以上も放置されているそうです。



Slashdotの中国語版であるSolidotによると、Mozillaの開発者Gervase Markham氏のセキュリティメーリングリスト内で、WoSignの証明書取り消しを含めた措置が話し合われているとのこと。



Solidot | Mozilla考虑对沃通CA采取行动

http://www.solidot.org/story?sid=49448



なお、WoSignは中国最大級の証明書発行者であり、中国のSSL対応サイトの3つに1つはWoSignの証明書を利用しているため、もしWoSignの証明書が無効になると大きな問題が発生すると考えられています。

