事の発端は、「Black Hat USA 2009」。ここで、MD2アルゴリズムを使用した証明書が、原像攻撃(Pre-image Attack)の対象となる可能性があることが発表された。
これを受け、サイバートラストでは、同社発行のSSLサーバ証明書であるSureServerおよびSureServer EVの全ての証明書はSHA1を使用し、MD2 を使用していないため、本脆弱性の影響を受けることは一切ないことを発表した。
Black Hatでは、サーバ証明書のコモンネームに「Null文字」を埋め込むことで、ブラウザなどのWebアプリケーションが証明書を誤って解釈する可能性があることが発表されたが、この脆弱性は、認証局からコモンネームに「Null文字」が含まれるサーバ証明書を得ることから生じるものだとサイバートラスト側は解説。
これに加え、サイバートラストでは「Null文字」が含まれたCSR(Certificate Signing Request:証明書署名要求)をもって申請が行われた場合であっても、コモンネームに「Null文字」が含まれるSSLサーバ証明書は発行していないことから、過去、今後を問わず、サイバートラスト発行のSSLサーバ証明書であるSureServerおよびSureServer EVの全ての証明書に「Null文字」は含まれず、本脆弱性の影響を受けることは一切ないとしている。
この記事は参考になりましたか?
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
