HTTPS証明書の販売業者Trusticoの顧客は、自身のウェブサイトのセキュリティ証明書(およそ23,000件)が24時間以内に無効化されるという突然の通知に戸惑っている。
これはセキュリティ上の重大なミスが発生したことによる措置だという。Trusticoが送信したメールに証明書の秘密鍵が記載されていたのだ。秘密鍵は外部に漏れてはならず、原則として証明書のオーナーのみが所有するもので、もちろんテキストメッセージで開示するなどもってのほかだ。悪用すれば、有害なWebサイトが合法的に運営されているかのように装うこともできてしまう。
影響を受けた証明書を期限までに取り替えない限り、デジタル証明書の失効にともなって、Trusticoが販売したHTTPS証明書を利用しているウェブサイトへのアクセスをブラウザ側が拒否するようになる。
このむちゃくちゃな状況の発端は、どうやら縄張り争いらしい。ここでは、The Register誌がこれまでに突き止めた情報を掲載する。
これはセキュリティ上の重大なミスが発生したことによる措置だという。Trusticoが送信したメールに証明書の秘密鍵が記載されていたのだ。秘密鍵は外部に漏れてはならず、原則として証明書のオーナーのみが所有するもので、もちろんテキストメッセージで開示するなどもってのほかだ。悪用すれば、有害なWebサイトが合法的に運営されているかのように装うこともできてしまう。
影響を受けた証明書を期限までに取り替えない限り、デジタル証明書の失効にともなって、Trusticoが販売したHTTPS証明書を利用しているウェブサイトへのアクセスをブラウザ側が拒否するようになる。
このむちゃくちゃな状況の発端は、どうやら縄張り争いらしい。ここでは、The Register誌がこれまでに突き止めた情報を掲載する。
![[セキュリティホットトピック] 人類史上最大の盗難額580億円相当が盗み出された仮想通貨のメリットと危険性 画像](/base/images/noimage.png)
![[Internet Week 2016] 厳選セキュリティセッション 第3回 「実践インシデント対応 ~事故から学ぶ~ 」 日本シーサート協議会 庄司 朋隆 氏](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/21309.jpg)
