日本実務出版 「安全と管理」「展示会情報」「セキュリティ産業年鑑」「防犯機器情報」  
 
セキュリティ関連会社INDEX
機器部門別情報
検知器部門
伝送装置部門
緊急通報装置部門
出入管理部門
バイオメトリクス部門
錠前部門
ホームセキュリティ部門
情報セキュリティ部門
クラウドセキュリティ部門
映像監視システム部門
映像機器(カメラ)部門
映像機器(レコーダー)部門
映像機器(レンズ他)部門
雷害対策・電源装置部門
ロス防止機器部門
無線通信機・システム部門
警備関連部門
防犯機器・装置部門
防災機器・装置部門
トータルセキュリティ部門
その他機器部門
市場別情報
学校のセキュリティ
重要施設のセキュリティ
ビル・オフィスのセキュリティ
金融機関のセキュリティ
商業施設のセキュリティ
工場のセキュリティ
公共施設のセキュリティ
医療機関のセキュリティ
ホームセキュリティ
地域防犯
企業情報
TOPIC
震災支援
TOPIC
TOPIC
新着情報
TOPIC
SECURITY SHOW 2015
危機管理産業展2014
テロ対策特殊装備展'14
第9回オフィスセキュリティEXPO
第13回自動認識総合展
情報セキュリティEXPO 2010
第15回「震災対策技術展」横浜
出版書籍
防犯・防災専門サイト「セキュリティナビ」
 

「スターフィールドSSL」のマイクロソフト
「偽証明書対策(ルート証明書プログラム追加条件)」への対応状況について

 ジェイサート鰍ヘ、世界最大の認証局(年間発行枚数60万枚、シェア30%)である米国GoDaddy社が発行している「スターフィールドSSL」が、先月に発生した米国有力認証局のハッキング事件およびその結果発行された「偽証明書」に対応する措置として、米国Microsoft社が業界に先駆けて公表した「WindowsRoot Certificate Program(ルート証明書プログラム)」の追加条件(Clause F)に、完全に適合していることを発表。
  本年4月6日、世界最大のPCブラウザInternet Explorerや携帯端末ブラウザWindowsMobileの供給元でもある米国Microsoft社は、世界で10億人を超えるPCユーザーやスマートフォン等携帯端末ユーザーを「偽証明書」から保護するため、同社ブラウザが「信頼されたルート認証機関」として暗号化通信を許可する認証局の要件を定めている「ルート証明書プログラム」に、以下要件を追加すると発表した。
1.証明書発行業務を行う組織は認証局と見なし、WebTrust等外部監査認証を取得するなど、本プログラムに定める認証局たる資格要件の全てを課すこと。
2.「信頼されたルート認証機関」から直接にエンド証明書を発行せず、中間認証局を介在させること。
3.証明書発行システムへのアクセスには多要素認証(ID/Password認証に加え、スマートカード認証や生態認証などの組合せ)とすること。
 本年3月15日(米国時間)、米国のある有力SSL認証局が第3国の何者かにハッキングされ、MicrosoftやGoogle、Yahoo!、Skype、Mozillaなど、著名サイトのログインページ等に利用される「偽証明書」が9枚発行されたが、その後の関係者による調査により、同認証局に固有の脆弱なシステムセキュリティ(第3者外部企業への証明書発行権限の移譲、エンド証明書をルート認証局から直接発行←証明のパスが2階層、等)に原因があったものと推定されることから、今後MozillaやOpera等その他ブラウザベンダなども追随する(GoogleChrome、MacSafariは追随済み)ものと想定されている。
 なお、米国Microsoft社では、上記の追加要件を満足しない認証局は、随時、InternetExplorer等同社ブラウザ上で利用できる「信頼されたルート認証局」リストから除外するとしている。
 現在SSLサーバ証明書を利用中の顧客、今後の利用を検討中の顧客は、認証局の当該追加条件への適合状況につき、今一度確認することを勧める。

ジェイサート
http://www.jcert.co.jp/

2011年4月25日発信

 
会社案内お問い合わせ