(続報) 他社にて発生したハッキングおよび不正なSSLサーバ証明書発行について

アラート ID:    ALERT728

説明

2011年11月17日

お客様各位

日本ベリサインでは、去る2011年9月8日にご連絡いたしました「他社にて発生したハッキングおよび不正なSSLサーバ証明書発行について」に関 連する対応として、米国CA/ブラウザフォーラムからの勧告に基づき、当社を含むシマンテックグループとして、一部の特定の企業・団体名をコモンネームの ドメイン名部分に含むSSLサーバ証明書の発行を停止させていただきます。

該当のドメイン名でのお申込みをご検討中のお客様におかれましてはご不便をおかけし大変恐縮ですが、ご理解の上、ご了承をいただければ幸いです。

引き続き弊社製品をご愛顧賜りますようお願い申し上げます。

1. 適用予定日時

2011年11月17日(木)より (日本時間)

2. 対象製品

ベリサイン ストアフロントにて申請いただく以下全ての製品

  • セキュア・サーバID、グローバル・サーバIDおよびEV SSL証明書

3. 発行停止となる条件

米国CA/ブラウザフォーラムの勧告および米国シマンテックの方針に基づき、以下の企業・団体名をコモンネームのドメイン名部分に含むSSLサーバ証明書の発行を停止します。

  • 対象の企業・団体名リスト(2011年11月17日時点)
    • Comodo
    • Cybertrust
    • Digicert
    • Equifax
    • Facebook
    • GeoTrust
    • GlobalSign
    • GoDaddy
    • Google
    • Microsoft
    • Mozilla
    • Thawte
    • VeriSign
  • 発行不可となる例 : 「CN=www.example-facebook.jp」
  • 「CN=facebook.example.jp」など、上記のリストに合致する文字列を含むが、ドメイン名部分に含まれない場合は発行可能

4. 発行停止の背景

上記の「対象の企業・団体名リスト(2011年11月17日時点)」は、先日ご連絡の「他社にて発行したハッキングおよび不正なSSLサーバ証明書発行」に関する調査の結果、悪意ある第三者によってSSLサーバ証明書不正発行が行われた対象の企業・団体です。

  • リスト中に存在する「VeriSign」や「GeoTrust」は、当社グループ企業の名前を騙って不正に発行されたEnd-entity証明書が存在す ることを意味するものであり(これらの証明書は既に失効されています)、当社の発行システムがハッキングされたということを意味するものではありません。 当社グループが発行するSSLサーバ証明書、EV SSL証明書、コードサイニング証明書をはじめとするすべてのサービスは、一切問題が生じていなことを確認しております。

(ご参考)調査結果の詳細
米国シマンテック 「Blog : DigiNotar SSL Breach Update」 (英語)

 

米国シマンテックおよび日本ベリサインでは、業界のリーダーとして、最も堅牢な証明書の認証、発行、管理、そして多階層の認証基盤の運用を維持し、より一層SSLサーバ証明書への信頼を高める目的で今回の措置をとることを決定いたしました

5. 本件に関するお問合せ先

日本ベリサイン カスタマーサービス
電話番号   : 044-520-7210(音声ガイダンス後"1"をプッシュしてください)
サポート時間 : 9:30-17:30 (土日祝日を除く)
E-mail    : server-info@verisign.co.jp
専用フォーム : https://www.verisign.co.jp/cgi-bin/mf.cgi?n=sid

以上

 

 

 

他社にて発生したハッキングおよび不正なSSLサーバ証明書発行について

2011年9月8日

お客様各位

2011年8月29日に、海外における他社の認証局事業者がハッキングされ、SSLサーバ証明書が不正な方法によって発行されたとの発表および報道 がありました。またハッカーによってハッキングされたと言われている一部の認証局では、現在SSLサーバ証明書の発行を停止しております。

不正に発行されたSSLサーバ証明書は、該当の認証局事業者により既に失効手続きがされております。またウェブブラウザ開発元からも、該当SSLサーバ証明書を無効としてアクセスをブロックする対応を組み込んだアップデートプログラムが現在提供されています。

当社でもこれらの発表および報告を受け、直ちに当社グループ(ベリサイン、ジオトラスト、ソート)における調査を実施したところ、当社グループが発 行するSSLサーバ証明書、EV SSL証明書、コードサイニング証明書をはじめとするすべてのサービスは、一切問題が生じていなことを確認いたしました。ご利用のお客様におかれまして は、引き続き安心してご利用頂けます。

当社としては、インターネットをご利用される一般の皆様においては、以下の対応を推奨しております。

  • ご利用のすべてのウェブブラウザを最新バージョンにアップデートすること
  • ウェブブラウザの「サーバ証明書の取消し/失効確認」設定を有効にすること

今回の件を受け、シマンテックのTrust Services担当バイスプレジデント、Fran Rosch(フラン・ロシュ)は以下のように述べています。

「シマンテックは業界のリーダーとして、積極的に設備投資を継続し、最も堅牢で拡張性のある証明書の認証、発行、管理、そして多階層の認証基盤を作 り上げてきました。お客様が証明書を購入する際の重要な要素は、当社の運用における高いセキュリティであると信じております。今後もしシマンテックの SSLサービスの基盤において何らかの問題が起きた場合は、当社は責任をもってお客様へ通知することをお約束いたします。」

 

以上

 

サポートへのお問い合わせ

回答の検索