• DigiNotar Removal Follow Up (Mozilla Security Blog)
• MozillaがDigiNotarのCA認定を取り消し、政府関連証明書も失効 (ITmedia エンタープライズ)
• 偽SSL証明書問題でMozillaが対応を説明、DigiNotarの証明書は恒久的に削除 (INTERNET Watch)

d:id:imatake:20110830:1314677827 の件の続き。Google 社のサイト以外に、addons.mozilla.org のものもあったらしい。で、20以上のドメインに対して200件以上発行されているという。

　不正なSSL証明書が発行される事件は3月にも発生したが、この時は認証局のComodoからすぐにMozillaに連絡があり、両者が連携して対策に当たったという。これに対してDigiNotarのケースでは十分な対応がなされたという確信が持てず、同社からの連絡も不十分なため、今後同様な問題が起きた場合のユーザーの保護に大きな不安が残ると判断した。

　Mozillaによれば、DigiNotarはオランダ政府の認証局の運営にもかかわっており、Mozillaは当初、政府関連の証明書は今回の問題の影響を受けないという同国政府の判断に基づき、これら証明書は失効の対象外としていた。しかしオランダ政府はDigiNotarの実態を調査した結果、当初の判断を撤回。これを受けてMozillaもFirefoxやThunderbirdなどの製品で、政府関連も含めたDigiNotar絡みの証明書を全て失効させる方針を決めた。

MozillaがDigiNotarのCA認定を取り消し、政府関連証明書も失効 (ITmedia エンタープライズ)

と言うことで、Mozilla は DigiNotar のCA認定を恒久的に取り消しますよっと。まぁ、各サイトの証明書が信用できるかは、それを発行した期間を信用できてるかなので。

さて、DigiNotar に発行された証明書を使ってる所は、どうするんだろうか。別機関で再発行か、Mozilla製はサポート外にするか…。

■追記
INTERNET Watch の記事と大元の Mozilla Security Blog へのリンクを追加