TOPNetwork > 不正な証明書を発行した認証局WoSignとStartCom、...

Network

不正な証明書を発行した認証局WoSignとStartCom、トップが交代へ

2016/10/12

Lucian Constantin IDG News Service

 WoSignは2016年10月7日、見つかったすべての問題について詳細に説明する報告書を公表した。この中で同社は、日付が古い証明書を64件発行し、そのうち42件が意図的な偽装だったことを認めた。これを受けて、WoSignのCEO(最高経営責任者)、Richard Wang氏は解任されることになった。

 「WoSignは、古い日付の証明書64件を発行するという重大な誤りを犯したことを認める。CAの基準(日付の遡及を行わないことなど)を順守して、技術面と運用面の正確さを維持することは、WoSignのCEOの責任であり、それがなされていなかった」と同社は報告書の中で説明。

 「WoSignは、SHA-1を要求する顧客から接触を受け、古い日付の証明書を承認するという誤りを犯した。StartComは2016年半ばに、SHA-1証明書を求める接触をTyroから受け、Richard Wangがその発行を承認するという誤りを犯した」

 WoSignの説明によると、古い日付の証明書を発行したのは、困り果てていた中国国内の顧客を助けるための決断だったとのことだ。中国国内では依然として数百万台のWindows XP SP2搭載パソコンが稼働しており、SHA-1証明書を入手できなくなった顧客が、そうしたパソコンへの対応に苦慮していたとしている。

 今回の事態を受けて、中国のインターネットセキュリティ企業Qihoo 360 Technologyが介入に乗り出し、WoSignとStartComを分離することを決めた。Qihoo 360は、WoSignの株式の過半数を有しており、暗黙的にStartComも傘下にある。

↑ページ先頭へ