質問

Advanced Search

Alert ID : ALERT781

Last Modified : 06/04/2018

MD5アルゴリズムへの衝突攻撃によるSSLサーバ証明書の偽造に関する報道について

Description

2009年1月6日

2008年12月30日、ベルリンで開催された「第25回カオス コミュニケーション会議(CCC)」において、MD5アルゴリズムへの衝突攻撃を利用し、SSLサーバ証明書の「偽造」に成功した旨の発表が行われました。
この攻撃手法では、一般的なブラウザ上であたかも正しい認証局であるかのように振舞う認証局を不正に構築し、この認証局から不正なSSLサーバ証明書を発行することによりウェブサイトの「なりすまし」を試みます。
日本ベリサインではこの攻撃によるお客様のビジネスへのリスクを最小限にとどめるため、以下の対処を行います。

  • 尚、この攻撃は、既に発行されたサーバIDを利用した通信の「改ざん」「盗聴」などを可能にするものではありません。お客様のWebサイトにて現在ご利用 いただいているグローバル・サーバIDおよびその他全てのサーバIDについて新たなリスクを生じさせるものではございません。

 

  1. MD5アルゴリズムを利用した全てのSSLサーバ証明書の発行を2009年1月6日(火)以降、停止いたします。

    対象製品
    「グローバル・サーバID」(日本ベリサイン「ストアフロント」システムから発行分)

    • 上記以外のサーバID製品は影響がございません。
  2. 上記対象製品の署名アルゴリズムを以下の通り、2009年1月15日(木)以降、MD5から、よりセキュアなSHA-1へ切り替えます。

    詳細はこちら

    • 尚、1月6日から1月15日までの間、対象製品の発行を一時的に保留させていただきます。お客様にはご不便をおかけし大変恐縮ですが、どうぞご理解・ご了承ください。
    • 1月5日以前に申請いただき、1月6日時点で未発行のサーバIDは、1月15日以降に発行させていただきます。
    • また1月6日以降に申請されたサーバIDも同様に、1月15日以降に発行させていただきます。
  3. 本件に関するお問合せ先

    カスタマーサービス
    メールお問合せ:server-info@verisign.co.jp
    電話番号: 044-520-7210 1番選択
    サポート時間: 9:30-17:30 (土日祝日を除く)