(続報) 他社にて発生したハッキングおよび不正なSSLサーバ証明書発行について

お客様各位

2011年11月28日
日本ジオトラスト株式会社

日本ジオトラストでは、去る2011年9月8日にご連絡いたしました「他社にて発生したハッキングおよび不正なSSLサーバ証明書発行について」に関連する対応として、米国CA/ブラウザフォーラムからの勧告に基づき、当社を含むシマンテックグループとして、一部の特定の企業・団体名をコモンネームのドメイン名部分に含むSSLサーバ証明書の発行を停止させていただきます。

該当のドメイン名でのお申込みをご検討中のお客様におかれましてはご不便をおかけし大変恐縮ですが、ご理解の上、ご了承をいただければ幸いです。

引き続き弊社製品をご愛顧賜りますようお願い申し上げます。

1. 適用予定日時

2011年11月28日 (月) より (日本時間)

2. 対象製品

ジオトラスト ストアフロントにて申請いただく以下全ての製品

  • ジオトラスト クイックSSLプレミアム
  • ジオトラスト トゥルービジネスID

3. 発行停止となる条件

米国CA/ブラウザフォーラムの勧告および米国シマンテックの方針に基づき、以下の企業・団体名をコモンネームのドメイン名部分に含むSSLサーバ証明書の発行を停止します。

  • 対象の企業・団体名リスト(2011年11月28日時点)
    • Comodo
    • Cybertrust
    • Digicert
    • Equifax
    • Facebook
    • GeoTrust
    • GlobalSign
    • GoDaddy
    • Google
    • Microsoft
    • Mozilla
    • Thawte
    • VeriSign

※ 発行不可となる例 : 「CN=www.example-facebook.jp」
※ 「CN=facebook.example.jp」など、上記のリストに合致する文字列を含むが、ドメイン名部分に含まれない場合は発行可能

4. 発行停止の背景

上記の「対象の企業・団体名リスト(2011年11月28日時点)」は、先日ご連絡の「他社にて発行したハッキングおよび不正なSSLサーバ証明書発行」に関する調査の結果、悪意ある第三者によってSSLサーバ証明書不正発行が行われた対象の企業・団体です。

  • リスト中に存在する「VeriSign」や「GeoTrust」は、当社グループ企業の名前を騙って不正に発行されたEnd-entity証明書が存在することを意味するものであり(これらの証明書は既に失効されています)、当社の発行システムがハッキングされたということを意味するものではありません。当社グループが発行するSSLサーバ証明書、EV SSL証明書、コードサイニング証明書をはじめとするすべてのサービスは、一切問題が生じていなことを確認しております。

米国シマンテックおよび日本ベリサインでは、業界のリーダーとして、最も堅牢な証明書の認証、発行、管理、そして多階層の認証基盤の運用を維持し、より一層SSLサーバ証明書への信頼を高める目的で今回の措置をとることを決定いたしました

(ご参考)調査結果の詳細
米国シマンテック 「Blog : DigiNotar SSL Breach Update」 (英語)

5. 本件に関するお問合せ先

日本ジオトラスト株式会社 顧客サポート
サポート時間 : 9:30-17:30 (土日祝日を除く)
電話番号 : 044-520-7291
E-mail : support@geotrust.co.jp
専用フォーム : https://www.geotrust.co.jp/cgi-bin/mf.cgi?n=gsupport

以上

他社にて発生したハッキングおよび不正なSSLサーバ証明書発行について

お客様各位

2011年9月8日
日本ジオトラスト株式会社

2011年8月29日に、海外における他社の認証局事業者がハッキングされ、SSLサーバ証明書が不正な方法によって発行されたとの発表および報道がありました。またハッカーによってハッキングされたと言われている一部の認証局では、現在SSLサーバ証明書の発行を停止しております。

不正に発行されたSSLサーバ証明書は、該当の認証局事業者により既に失効手続きがされております。またウェブブラウザ開発元からも、該当SSLサーバ証明書を無効としてアクセスをブロックする対応を組み込んだアップデートプログラムが現在提供されています。

当社でもこれらの発表および報告を受け、直ちに当社グループ(ベリサイン、ジオトラスト、ソート)における調査を実施したところ、当社グループが発行するSSLサーバ証明書、EV SSL証明書、コードサイニング証明書をはじめとするすべてのサービスは、一切問題が生じていなことを確認いたしました。ご利用のお客様におかれましては、引き続き安心してご利用頂けます。

当社としては、インターネットをご利用される一般の皆様においては、以下の対応を推奨しております。

  • ご利用のすべてのウェブブラウザを最新バージョンにアップデートすること
  • ウェブブラウザの「サーバ証明書の取消し/失効確認」設定を有効にすること

今回の件を受け、シマンテックのTrust Services担当バイスプレジデント、Fran Rosch(フラン・ロシュ)は以下のように述べています。

「シマンテックは業界のリーダーとして、積極的に設備投資を継続し、最も堅牢で拡張性のある証明書の認証、発行、管理、そして多階層の認証基盤を作り上げてきました。お客様が証明書を購入する際の重要な要素は、当社の運用における高いセキュリティであると信じております。今後もしシマンテックのSSLサービスの基盤において何らかの問題が起きた場合は、当社は責任をもってお客様へ通知することをお約束いたします。」

以上