【中国】中国の認証局が不正な証明書、主要ブラウザが無効化を通告[11/02]

1 ：ねこ名無し ★＠＼(^o^)／：2016/11/02(水) 23:09:54.00 ID:CAP_USER.net

　中国の認証局WoSignと傘下のWoSignが不正な証明書を発行していたことが分かったとして、米MozillaやGoogle、AppleがそれぞれのWebブラウザで両社の証明書を信頼できない証明書として扱うと表明した。

　Googleは10月31日のブログで、Chrome 56（2017年1月にリリース予定）以降のバージョンではWoSignとStartComが10月21日以降に発行した証明書を信頼できる証明書として扱わないと表明した。

http://image.itmedia.co.jp/enterprise/articles/1611/02/sa_sn20.jpg
10月21日以降に発行した証明書を信頼できる証明書として扱わないとするGoogleのブログ

　それより前に発効された証明書については当面の間、条件付きで信頼するが、そうした例外は両社の証明書を使っているWebサイトに対して信頼できる別の認証局への移行を促すための措置だとした。

　MozillaのFirefoxでもWoSignとStartComが10月21日以降に発行した証明書について、Firefox 51（現在aurora版、安定版は2017年1月24日リリース予定）以降のバージョンで無効とする。

　Mozillaは10月24日のブログで、WoSignには技術的、管理的問題が多数あると指摘していた。Mozillaなどは認証局に対して2016年1月1日までにSHA-1を使ったSSL証明書の発行を中止するよう求めていたが、WoSignはこの措置を免れる目的で、証明書に実際よりも前の日付を入れていたことが分かったという。

　Googleも8月にGitHubのセキュリティチームから、WoSignがGitHubのドメインの1つについて許可なく証明書を発行したと通報を受け、Mozillaなどと協力して調べたところ、WoSignが不正な証明書を発行していたケースがほかにも多数見つかったとしている。

　さらに、WoSignは別の認証局のStartComを買収していたにもかかわらず、その事実を公表しなかったとMozillaは指摘した。Googleもこの買収について「WoSignとStartComは証拠を突き付けられると、買収および両社の関係についてブラウザコミュニティをあざむこうと画策した」と批判している。

　こうした経緯からMozillaとGoogleは、両社が認証局に要求される高い水準を満たしておらず、ポリシーに違反していると判断した。

　これに先立ちAppleも9月30日、WoSignの証明書発行プロセスに複数の問題が多数あったとして、Safariなどの製品でWoSignの関係する証明書を失効させると通告していた。

http://www.itmedia.co.jp/enterprise/articles/1611/02/news082.html

19 ：<丶｀∀´>（´・ω・｀）（｀ハ´　 ）さん＠＼(^o^)／：2016/11/03(木) 02:07:58.25 ID:Ii9eQMbp.net

ぶっちゃけSSLとか全然信用してない。

20 ：<丶｀∀´>（´・ω・｀）（｀ハ´　 ）さん＠＼(^o^)／：2016/11/03(木) 02:12:52.31 ID:69NrwHdB.net

>>18
いいから１か月間シナ人とつきあってみろ

日本人が世界で特別なんだって気付くからw
俺たち日本人は由緒正しい縄文人の子孫、やつらは正体不明のエイリアンだと気づくよ

21 ：<丶｀∀´>（´・ω・｀）（｀ハ´　 ）さん＠＼(^o^)／：2016/11/03(木) 02:40:53.86 ID:gSBZ234R.net

>>19
郵便の再配達すら出来ないぞ

22 ：<丶｀∀´>（´・ω・｀）（｀ハ´　 ）さん＠＼(^o^)／：2016/11/03(木) 03:03:17.90 ID:15m3kMz4.net

支那人の保証なんて
なんの意味もない

23 ：<丶｀∀´>（´・ω・｀）（｀ハ´　 ）さん＠＼(^o^)／：2016/11/03(木) 04:05:54.41 ID:Txlh9RJd.net

中国の認証局が発行した証明書なら、オレオレ証明書の方が信用あるだろ。

24 ：<丶｀∀´>（´・ω・｀）（｀ハ´　 ）さん＠＼(^o^)／：2016/11/03(木) 05:26:50.72 ID:NimtjKFh.net

>>18
甘いな

あいつらをよく観察してみろ
まだ共産党の方がまともに見えるから（それほど酷い

25 ：<丶｀∀´>（´・ω・｀）（｀ハ´　 ）さん＠＼(^o^)／：2016/11/03(木) 05:26:50.75 ID:2df2OxnM.net

>>23
オレオレ証明書は「これ信用すんの？」って警告でるよね

26 ：<丶｀∀´>（´・ω・｀）（｀ハ´　 ）さん＠＼(^o^)／：2016/11/03(木) 05:31:40.54 ID:F5+qqc/O.net

この企業に限らず、中国に認証局が存在してることがびっくり
ブラウザで発行国ごと証明書を弾けるようにならないかなあ

27 ：<丶｀∀´>（´・ω・｀）（｀ハ´　 ）さん＠＼(^o^)／：2016/11/03(木) 05:31:49.69 ID:LU/gZQk8.net

「そんなところの証明書使わねえよ」と笑ってるやつのブログが
ログイン時に使ってて自分のブラウザで弾かれたら笑うんだけどな

28 ：<丶｀∀´>（´・ω・｀）（｀ハ´　 ）さん＠＼(^o^)／：2016/11/03(木) 05:36:31.56 ID:LU/gZQk8.net

そしてブラウザに許可しますかと聞かれ入らないとどうしようもないので
泣く泣く許可するをクリックするはめになったりしてw

29 ：<丶｀∀´>（´・ω・｀）（｀ハ´　 ）さん＠＼(^o^)／：2016/11/03(木) 08:32:04.11 ID:LAk+xxVL.net

シナの証明書て常日頃監視されてそう

30 ：<丶｀∀´>（´・ω・｀）（｀ハ´　 ）さん＠＼(^o^)／：2016/11/03(木) 08:35:11.45 ID:jnG347yb.net

先進国で成り立っている仕組みも中国人が関わると崩壊する
あいつらは国内から出てこられないようにするべき