DigiNotar事件の影響について(社内へのメールを転載)

DigiNotar事件について、社内に流したメールを一部改変して転載します。

メール内容

影響無い可能性もありますが、Web技術者としては知っておいた方が良いので簡単に説明します。

■事件の内容
http://www.itmedia.co.jp/news/articles/1108/31/news017.html
簡単に言うと、DigiNotarという認証局が、本来のドメインの所有者ではない者にSSL証明書を発行してしまった(正確には発行「させられ」てしまった)という事件です。

■事件の危険性
この認証局の証明書は、後述の通り現在は無効化されていますが、その対応が為されるまでは「正しい」証明書として機能していたので、ユーザから見ると正しいサイトにアクセスしているのに、実は不正なサイトにアクセスしているという問題が起こる状態でした*1

■事件への対応による、一般的な影響
上記の不正発行が判明した為、MicrosoftMozillaGoogle等はそれぞれOS、ブラウザで、同社発行の証明書を信頼できないものという扱いに変えました。
http://www.itmedia.co.jp/news/articles/1109/07/news017.html

これによって、DigiNotar社発行の証明書は、「正規に発行されたものを含めて」全て無効となりました。同社発行の証明書を使っているサイトは、ブラウザでアクセスすると、開発時などに自己証明書(所謂オレオレ証明書)を使うと出てくるようなセキュリティの警告が表示される筈です。

■事件への対応による、自分達への影響
ここまでは他山の石な話ですが、先程我々がよく利用するSSL認証局からメールが来ました。
内容は、クラッカーが「他にも幾つかの認証局を攻撃した」として挙げている中にその認証局も含まれているので、社内で調査が終わるまで証明書発行業務を停止するというものです。
発行業務を停止しても既存の証明書は関係無いので、現時点では期限が来て更新する時困る(別の認証局にする必要がある)くらいの影響ですが、万が一この認証局がDigiNotar社と同様に、不正に発行しており、かつ影響範囲が広汎もしくは特定しきれない状態だった場合、最悪同じように正規の(我々が使っているものを含めた)証明書が全て無効化される可能性があります。

人間によるブラウジングで警告が出るのも問題ではありますが、クライアントアプリ(AIR等)や各種スマホアプリの場合、プログラムからネットワークアクセスが出来なくなる事になるので、サービスの障害に直結します。

という事で、今後の動きによっては早急な対応が求められる可能性もあるという事を覚えておいて下さい。
そうなる危険性が高まった場合は、影響度に応じて先手を打って別の認証局から証明書を取得して差し替える可能性もありますが、その場合は認証局から無効化実施に先立って報告があると思うので、現時点では継続して情報を注視するという対応に留めます。

*1:実際にそれが起こるには不正な証明書以外にも条件がありますが今回は省略