「*.google.com」の偽SSL証明書が見つかる
- 「google.com」に対する偽SSL証明書が見つかる、認証局が取り消し (INTERNET Watch)
- Google の一部サイトに対して発行された不正な SSL 証明書の問題 (Mozilla Japan ブログ)
- Deleting the DigiNotar CA certificate (Firefox ヘルプ)
Google の公開サイト「*.google.com」の不正なSSL証明書が発行されてしまった模様。発行された証明書は、発行元の認証局 DigiNotar が既に取り消しを行っている。
また、Mozilla は不正発行の規模が不明として、DigiNotar のルート証明書「DigiNotar Root CA」を無効にしたアップデートの公開準備を行っている。
■追記 (下記と記事2本)
Windows 7/Vista と Server 2008/2008 R2 は、証明書失効のエラーが表示される。Windows XP と Server 2003 は、更新プログラムの提供を検討中。
■追記 (下記とリンク2本)
- 認証局が不正なSSL証明書を発行、Googleユーザーを狙う攻撃が発生 - ITmedia ニュース
- An update on attempted man-in-the-middle attacks (Google Online Security Blog)
不正な証明書を検出できるが、安全を期すために、Chrome もDigiNotarが発行した証明書を無効にするとのこと。
■追記 (下記とリンク2本)
- Operaはデフォルトで対処不要、偽Google SSL証明書問題 (マイコミジャーナル)
- When Certificate Authorities are Hacked (The Opera Security group)
Opera の対応は?と思ったけど、常にその証明証が有効かどうかをチェックする(チェックできない場合は未検証として扱う)ので、特別に対処を行う必要がない。って事らしい。