不正な証明書発行の根本原因は「安易なパスワード運用」 － ＠IT

2011/03/29 ソフォスは3月27日、SSL認証局を運営するコモド（Comodo）に侵入して、不正にSSL証明書を発行した犯人が名乗り出たと、同社ブログ上で報告した。犯人は単独犯であり、「Iranian Cyber Army」とは無関係だと主張しているという。 この事件では、コモドのパートナー企業からIDとパスワードが盗み取られた。犯人はそれを使って同社のRA（登録局）にログインし、「login.skype.com」や「mail.google.com」といったサイトの電子証明書を不正に発行した。 犯人によると、当初目的としていたのはSSLルート証明書システムのハッキングだったが、その過程で、「GlobalTrust.it」「InstantSSL.it」というパートナー企業のWebサイトの脆弱性に気付いた。これらのパートナー企業では、証明書署名リクエスト（CSR）用にDLLファイル（T

[tsupo]

パートナー企業のIDと(暗号化されてない)パスワードを入手、これを利用して証明書署名リクエスト(CSR)を生成、コモドの署名付き電子証明書を発行 → パスワードの管理に問題

[sanko0408]

名乗り出るんだ。