Comodo CAがサーバ証明書を関係のない第三者に発行、大問題に | スラド セキュリティ

本家のストーリにもなっているが、認証局として知られる「Comodo」のアウトソース先の証明書販売業者が、mozilla.com用のサーバ証明書を関係のない第三者に発行してしまう事件が発生したようだ（eWeekの記事「SSL Certificate Vendor Sells Mozilla.com Cert to Some Guy」、mozilla.dev.tech.cryptoグループに掲載されている事件の経緯）。 これをやらかしたのは「Certstar」というComodoの再販業者のようだ。StartComのEddy Nigg氏がこの再販業者に対してmozilla.com用のサーバ証明書の取得を試みたところ、何の本人確認手続きもなしに証明書が発行され手に入ってしまったのだそうだ。mozilla.dev.tech.cryptoでは、Comodoの人が出てきて、この再販業者からの発行を停止し

[RMS-099]

「Comodoのアウトソース先の証明書販売業者(Certstar)が、mozilla.com用のサーバ証明書を関係のない第三者に発行してしまう事件が発生したようだ。」←2008年12月26日の記事で、2016年現在は流石にそんなことはない？

[t-sat]

ええェ……

[rna]

>id:kgbu 他の会社に移行するだけでは。有効期限も失効の仕組みもあるんだし、混乱はするけど破滅はしないでしょう。/信用は信仰じゃない。絶対じゃないのは織り込み済み。

[w2allen]

引用：認証局として知られる「Comodo」のアウトソース先の証明書販売業者が、mozilla.com用のサーバ証明書を関係のない第三者に発行してしまう事件が発生したようだ（eWeekの記事。

[mad-p]

もう少し議論が進んだらまた読む。このへん勉強し直さないとなー

[mochy]

発行の仕組みが簡単な業者ではありがちな気もする。

[kgbu]

金融関係の格付け会社だっていい加減なんだから、ＳＳＬの発行元が信用できるとか、永久に破綻しないとか期待するほうが無理があるかも。ところで、Verisignが経営破綻したらみんなどうするだろうか。

[xenoma]

ひぃいい